Send alert for bad DH CKE
[openssl.git] / ssl / statem / statem_srvr.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  *
13  * Portions of the attached software ("Contribution") are developed by
14  * SUN MICROSYSTEMS, INC., and are contributed to the OpenSSL project.
15  *
16  * The Contribution is licensed pursuant to the OpenSSL open source
17  * license provided above.
18  *
19  * ECC cipher suite support in OpenSSL originally written by
20  * Vipul Gupta and Sumit Gupta of Sun Microsystems Laboratories.
21  *
22  */
23 /* ====================================================================
24  * Copyright 2005 Nokia. All rights reserved.
25  *
26  * The portions of the attached software ("Contribution") is developed by
27  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
28  * license.
29  *
30  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
31  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
32  * support (see RFC 4279) to OpenSSL.
33  *
34  * No patent licenses or other rights except those expressly stated in
35  * the OpenSSL open source license shall be deemed granted or received
36  * expressly, by implication, estoppel, or otherwise.
37  *
38  * No assurances are provided by Nokia that the Contribution does not
39  * infringe the patent or other intellectual property rights of any third
40  * party or that the license provides you with all the necessary rights
41  * to make use of the Contribution.
42  *
43  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
44  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
45  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
46  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
47  * OTHERWISE.
48  */
49
50
51 #include <stdio.h>
52 #include "../ssl_locl.h"
53 #include "statem_locl.h"
54 #include "internal/constant_time_locl.h"
55 #include <openssl/buffer.h>
56 #include <openssl/rand.h>
57 #include <openssl/objects.h>
58 #include <openssl/evp.h>
59 #include <openssl/hmac.h>
60 #include <openssl/x509.h>
61 #include <openssl/dh.h>
62 #include <openssl/bn.h>
63 #include <openssl/md5.h>
64
65 static STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
66                                                       PACKET *cipher_suites,
67                                                       STACK_OF(SSL_CIPHER) **skp,
68                                                       int sslv2format, int *al);
69
70 /*
71  * server_read_transition() encapsulates the logic for the allowed handshake
72  * state transitions when the server is reading messages from the client. The
73  * message type that the client has sent is provided in |mt|. The current state
74  * is in |s->statem.hand_state|.
75  *
76  *  Valid return values are:
77  *  1: Success (transition allowed)
78  *  0: Error (transition not allowed)
79  */
80 int ossl_statem_server_read_transition(SSL *s, int mt)
81 {
82     OSSL_STATEM *st = &s->statem;
83
84     switch (st->hand_state) {
85     case TLS_ST_BEFORE:
86     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
87         if (mt == SSL3_MT_CLIENT_HELLO) {
88             st->hand_state = TLS_ST_SR_CLNT_HELLO;
89             return 1;
90         }
91         break;
92
93     case TLS_ST_SW_SRVR_DONE:
94         /*
95          * If we get a CKE message after a ServerDone then either
96          * 1) We didn't request a Certificate
97          * OR
98          * 2) If we did request one then
99          *      a) We allow no Certificate to be returned
100          *      AND
101          *      b) We are running SSL3 (in TLS1.0+ the client must return a 0
102          *         list if we requested a certificate)
103          */
104         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
105             if (s->s3->tmp.cert_request) {
106                 if (s->version == SSL3_VERSION) {
107                     if ((s->verify_mode & SSL_VERIFY_PEER)
108                         && (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
109                         /*
110                          * This isn't an unexpected message as such - we're just
111                          * not going to accept it because we require a client
112                          * cert.
113                          */
114                         ssl3_send_alert(s, SSL3_AL_FATAL,
115                                         SSL3_AD_HANDSHAKE_FAILURE);
116                         SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION,
117                                SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
118                         return 0;
119                     }
120                     st->hand_state = TLS_ST_SR_KEY_EXCH;
121                     return 1;
122                 }
123             } else {
124                 st->hand_state = TLS_ST_SR_KEY_EXCH;
125                 return 1;
126             }
127         } else if (s->s3->tmp.cert_request) {
128             if (mt == SSL3_MT_CERTIFICATE) {
129                 st->hand_state = TLS_ST_SR_CERT;
130                 return 1;
131             }
132         }
133         break;
134
135     case TLS_ST_SR_CERT:
136         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
137             st->hand_state = TLS_ST_SR_KEY_EXCH;
138             return 1;
139         }
140         break;
141
142     case TLS_ST_SR_KEY_EXCH:
143         /*
144          * We should only process a CertificateVerify message if we have
145          * received a Certificate from the client. If so then |s->session->peer|
146          * will be non NULL. In some instances a CertificateVerify message is
147          * not required even if the peer has sent a Certificate (e.g. such as in
148          * the case of static DH). In that case |st->no_cert_verify| should be
149          * set.
150          */
151         if (s->session->peer == NULL || st->no_cert_verify) {
152             if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
153                 /*
154                  * For the ECDH ciphersuites when the client sends its ECDH
155                  * pub key in a certificate, the CertificateVerify message is
156                  * not sent. Also for GOST ciphersuites when the client uses
157                  * its key from the certificate for key exchange.
158                  */
159                 st->hand_state = TLS_ST_SR_CHANGE;
160                 return 1;
161             }
162         } else {
163             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
164                 st->hand_state = TLS_ST_SR_CERT_VRFY;
165                 return 1;
166             }
167         }
168         break;
169
170     case TLS_ST_SR_CERT_VRFY:
171         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
172             st->hand_state = TLS_ST_SR_CHANGE;
173             return 1;
174         }
175         break;
176
177     case TLS_ST_SR_CHANGE:
178 #ifndef OPENSSL_NO_NEXTPROTONEG
179         if (s->s3->next_proto_neg_seen) {
180             if (mt == SSL3_MT_NEXT_PROTO) {
181                 st->hand_state = TLS_ST_SR_NEXT_PROTO;
182                 return 1;
183             }
184         } else {
185 #endif
186             if (mt == SSL3_MT_FINISHED) {
187                 st->hand_state = TLS_ST_SR_FINISHED;
188                 return 1;
189             }
190 #ifndef OPENSSL_NO_NEXTPROTONEG
191         }
192 #endif
193         break;
194
195 #ifndef OPENSSL_NO_NEXTPROTONEG
196     case TLS_ST_SR_NEXT_PROTO:
197         if (mt == SSL3_MT_FINISHED) {
198             st->hand_state = TLS_ST_SR_FINISHED;
199             return 1;
200         }
201         break;
202 #endif
203
204     case TLS_ST_SW_FINISHED:
205         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
206             st->hand_state = TLS_ST_SR_CHANGE;
207             return 1;
208         }
209         break;
210
211     default:
212         break;
213     }
214
215     /* No valid transition found */
216     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
217     SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION, SSL_R_UNEXPECTED_MESSAGE);
218     return 0;
219 }
220
221 /*
222  * Should we send a ServerKeyExchange message?
223  *
224  * Valid return values are:
225  *   1: Yes
226  *   0: No
227  */
228 static int send_server_key_exchange(SSL *s)
229 {
230     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
231
232     /*
233      * only send a ServerKeyExchange if DH or fortezza but we have a
234      * sign only certificate PSK: may send PSK identity hints For
235      * ECC ciphersuites, we send a serverKeyExchange message only if
236      * the cipher suite is either ECDH-anon or ECDHE. In other cases,
237      * the server certificate contains the server's public key for
238      * key exchange.
239      */
240     if (alg_k & (SSL_kDHE|SSL_kECDHE)
241         /*
242          * PSK: send ServerKeyExchange if PSK identity hint if
243          * provided
244          */
245 #ifndef OPENSSL_NO_PSK
246         /* Only send SKE if we have identity hint for plain PSK */
247         || ((alg_k & (SSL_kPSK | SSL_kRSAPSK))
248             && s->cert->psk_identity_hint)
249         /* For other PSK always send SKE */
250         || (alg_k & (SSL_PSK & (SSL_kDHEPSK | SSL_kECDHEPSK)))
251 #endif
252 #ifndef OPENSSL_NO_SRP
253         /* SRP: send ServerKeyExchange */
254         || (alg_k & SSL_kSRP)
255 #endif
256        ) {
257         return 1;
258     }
259
260     return 0;
261 }
262
263 /*
264  * Should we send a CertificateRequest message?
265  *
266  * Valid return values are:
267  *   1: Yes
268  *   0: No
269  */
270 static int send_certificate_request(SSL *s)
271 {
272     if (
273            /* don't request cert unless asked for it: */
274            s->verify_mode & SSL_VERIFY_PEER
275            /*
276             * if SSL_VERIFY_CLIENT_ONCE is set, don't request cert
277             * during re-negotiation:
278             */
279            && ((s->session->peer == NULL) ||
280                !(s->verify_mode & SSL_VERIFY_CLIENT_ONCE))
281            /*
282             * never request cert in anonymous ciphersuites (see
283             * section "Certificate request" in SSL 3 drafts and in
284             * RFC 2246):
285             */
286            && (!(s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL)
287            /*
288             * ... except when the application insists on
289             * verification (against the specs, but statem_clnt.c accepts
290             * this for SSL 3)
291             */
292                || (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT))
293            /* don't request certificate for SRP auth */
294            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aSRP)
295            /*
296             * With normal PSK Certificates and Certificate Requests
297             * are omitted
298             */
299            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aPSK)) {
300         return 1;
301     }
302
303     return 0;
304 }
305
306 /*
307  * server_write_transition() works out what handshake state to move to next
308  * when the server is writing messages to be sent to the client.
309  */
310 WRITE_TRAN ossl_statem_server_write_transition(SSL *s)
311 {
312     OSSL_STATEM *st = &s->statem;
313
314     switch (st->hand_state) {
315     case TLS_ST_BEFORE:
316         /* Just go straight to trying to read from the client */;
317         return WRITE_TRAN_FINISHED;
318
319     case TLS_ST_OK:
320         /* We must be trying to renegotiate */
321         st->hand_state = TLS_ST_SW_HELLO_REQ;
322         return WRITE_TRAN_CONTINUE;
323
324     case TLS_ST_SW_HELLO_REQ:
325         st->hand_state = TLS_ST_OK;
326         ossl_statem_set_in_init(s, 0);
327         return WRITE_TRAN_CONTINUE;
328
329     case TLS_ST_SR_CLNT_HELLO:
330         if (SSL_IS_DTLS(s) && !s->d1->cookie_verified
331                 && (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE))
332             st->hand_state = DTLS_ST_SW_HELLO_VERIFY_REQUEST;
333         else
334             st->hand_state = TLS_ST_SW_SRVR_HELLO;
335         return WRITE_TRAN_CONTINUE;
336
337     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
338         return WRITE_TRAN_FINISHED;
339
340     case TLS_ST_SW_SRVR_HELLO:
341         if (s->hit) {
342             if (s->tlsext_ticket_expected)
343                 st->hand_state = TLS_ST_SW_SESSION_TICKET;
344             else
345                 st->hand_state = TLS_ST_SW_CHANGE;
346         } else {
347             /* Check if it is anon DH or anon ECDH, */
348             /* normal PSK or SRP */
349             if (!(s->s3->tmp.new_cipher->algorithm_auth &
350                  (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
351                 st->hand_state = TLS_ST_SW_CERT;
352             } else if (send_server_key_exchange(s)) {
353                 st->hand_state = TLS_ST_SW_KEY_EXCH;
354             } else if (send_certificate_request(s)) {
355                 st->hand_state = TLS_ST_SW_CERT_REQ;
356             } else {
357                 st->hand_state = TLS_ST_SW_SRVR_DONE;
358             }
359         }
360         return WRITE_TRAN_CONTINUE;
361
362     case TLS_ST_SW_CERT:
363         if (s->tlsext_status_expected) {
364             st->hand_state = TLS_ST_SW_CERT_STATUS;
365             return WRITE_TRAN_CONTINUE;
366         }
367         /* Fall through */
368
369     case TLS_ST_SW_CERT_STATUS:
370         if (send_server_key_exchange(s)) {
371             st->hand_state = TLS_ST_SW_KEY_EXCH;
372             return WRITE_TRAN_CONTINUE;
373         }
374         /* Fall through */
375
376     case TLS_ST_SW_KEY_EXCH:
377         if (send_certificate_request(s)) {
378             st->hand_state = TLS_ST_SW_CERT_REQ;
379             return WRITE_TRAN_CONTINUE;
380         }
381         /* Fall through */
382
383     case TLS_ST_SW_CERT_REQ:
384         st->hand_state = TLS_ST_SW_SRVR_DONE;
385         return WRITE_TRAN_CONTINUE;
386
387     case TLS_ST_SW_SRVR_DONE:
388         return WRITE_TRAN_FINISHED;
389
390     case TLS_ST_SR_FINISHED:
391         if (s->hit) {
392             st->hand_state = TLS_ST_OK;
393             ossl_statem_set_in_init(s, 0);
394             return WRITE_TRAN_CONTINUE;
395         } else if (s->tlsext_ticket_expected) {
396             st->hand_state = TLS_ST_SW_SESSION_TICKET;
397         } else {
398             st->hand_state = TLS_ST_SW_CHANGE;
399         }
400         return WRITE_TRAN_CONTINUE;
401
402     case TLS_ST_SW_SESSION_TICKET:
403         st->hand_state = TLS_ST_SW_CHANGE;
404         return WRITE_TRAN_CONTINUE;
405
406     case TLS_ST_SW_CHANGE:
407         st->hand_state = TLS_ST_SW_FINISHED;
408         return WRITE_TRAN_CONTINUE;
409
410     case TLS_ST_SW_FINISHED:
411         if (s->hit) {
412             return WRITE_TRAN_FINISHED;
413         }
414         st->hand_state = TLS_ST_OK;
415         ossl_statem_set_in_init(s, 0);
416         return WRITE_TRAN_CONTINUE;
417
418     default:
419         /* Shouldn't happen */
420         return WRITE_TRAN_ERROR;
421     }
422 }
423
424 /*
425  * Perform any pre work that needs to be done prior to sending a message from
426  * the server to the client.
427  */
428 WORK_STATE ossl_statem_server_pre_work(SSL *s, WORK_STATE wst)
429 {
430     OSSL_STATEM *st = &s->statem;
431
432     switch (st->hand_state) {
433     case TLS_ST_SW_HELLO_REQ:
434         s->shutdown = 0;
435         if (SSL_IS_DTLS(s))
436             dtls1_clear_record_buffer(s);
437         break;
438
439     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
440         s->shutdown = 0;
441         if (SSL_IS_DTLS(s)) {
442             dtls1_clear_record_buffer(s);
443             /* We don't buffer this message so don't use the timer */
444             st->use_timer = 0;
445         }
446         break;
447
448     case TLS_ST_SW_SRVR_HELLO:
449         if (SSL_IS_DTLS(s)) {
450             /*
451              * Messages we write from now on should be bufferred and
452              * retransmitted if necessary, so we need to use the timer now
453              */
454             st->use_timer = 1;
455         }
456         break;
457
458     case TLS_ST_SW_SRVR_DONE:
459 #ifndef OPENSSL_NO_SCTP
460         if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s)))
461             return dtls_wait_for_dry(s);
462 #endif
463         return WORK_FINISHED_CONTINUE;
464
465     case TLS_ST_SW_SESSION_TICKET:
466         if (SSL_IS_DTLS(s)) {
467             /*
468              * We're into the last flight. We don't retransmit the last flight
469              * unless we need to, so we don't use the timer
470              */
471             st->use_timer = 0;
472         }
473         break;
474
475     case TLS_ST_SW_CHANGE:
476         s->session->cipher = s->s3->tmp.new_cipher;
477         if (!s->method->ssl3_enc->setup_key_block(s)) {
478             ossl_statem_set_error(s);
479             return WORK_ERROR;
480         }
481         if (SSL_IS_DTLS(s)) {
482             /*
483              * We're into the last flight. We don't retransmit the last flight
484              * unless we need to, so we don't use the timer. This might have
485              * already been set to 0 if we sent a NewSessionTicket message,
486              * but we'll set it again here in case we didn't.
487              */
488             st->use_timer = 0;
489         }
490         return WORK_FINISHED_CONTINUE;
491
492     case TLS_ST_OK:
493         return tls_finish_handshake(s, wst);
494
495     default:
496         /* No pre work to be done */
497         break;
498     }
499
500     return WORK_FINISHED_CONTINUE;
501 }
502
503 /*
504  * Perform any work that needs to be done after sending a message from the
505  * server to the client.
506  */
507 WORK_STATE ossl_statem_server_post_work(SSL *s, WORK_STATE wst)
508 {
509     OSSL_STATEM *st = &s->statem;
510
511     s->init_num = 0;
512
513     switch (st->hand_state) {
514     case TLS_ST_SW_HELLO_REQ:
515         if (statem_flush(s) != 1)
516             return WORK_MORE_A;
517         if (!ssl3_init_finished_mac(s)) {
518             ossl_statem_set_error(s);
519             return WORK_ERROR;
520         }
521         break;
522
523     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
524         if (statem_flush(s) != 1)
525             return WORK_MORE_A;
526         /* HelloVerifyRequest resets Finished MAC */
527         if (s->version != DTLS1_BAD_VER && !ssl3_init_finished_mac(s)) {
528             ossl_statem_set_error(s);
529             return WORK_ERROR;
530         }
531         /*
532          * The next message should be another ClientHello which we need to
533          * treat like it was the first packet
534          */
535         s->first_packet = 1;
536         break;
537
538     case TLS_ST_SW_SRVR_HELLO:
539 #ifndef OPENSSL_NO_SCTP
540         if (SSL_IS_DTLS(s) && s->hit) {
541             unsigned char sctpauthkey[64];
542             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
543
544             /*
545              * Add new shared key for SCTP-Auth, will be ignored if no
546              * SCTP used.
547              */
548             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
549                    sizeof(DTLS1_SCTP_AUTH_LABEL));
550
551             if (SSL_export_keying_material(s, sctpauthkey,
552                     sizeof(sctpauthkey), labelbuffer,
553                     sizeof(labelbuffer), NULL, 0, 0) <= 0) {
554                 ossl_statem_set_error(s);
555                 return WORK_ERROR;
556             }
557
558             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
559                      sizeof(sctpauthkey), sctpauthkey);
560         }
561 #endif
562         break;
563
564     case TLS_ST_SW_CHANGE:
565 #ifndef OPENSSL_NO_SCTP
566         if (SSL_IS_DTLS(s) && !s->hit) {
567             /*
568              * Change to new shared key of SCTP-Auth, will be ignored if
569              * no SCTP used.
570              */
571             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
572                      0, NULL);
573         }
574 #endif
575         if (!s->method->ssl3_enc->change_cipher_state(s,
576                 SSL3_CHANGE_CIPHER_SERVER_WRITE)) {
577             ossl_statem_set_error(s);
578             return WORK_ERROR;
579         }
580
581         if (SSL_IS_DTLS(s))
582             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
583         break;
584
585     case TLS_ST_SW_SRVR_DONE:
586         if (statem_flush(s) != 1)
587             return WORK_MORE_A;
588         break;
589
590     case TLS_ST_SW_FINISHED:
591         if (statem_flush(s) != 1)
592             return WORK_MORE_A;
593 #ifndef OPENSSL_NO_SCTP
594         if (SSL_IS_DTLS(s) && s->hit) {
595             /*
596              * Change to new shared key of SCTP-Auth, will be ignored if
597              * no SCTP used.
598              */
599             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
600                      0, NULL);
601         }
602 #endif
603         break;
604
605     default:
606         /* No post work to be done */
607         break;
608     }
609
610     return WORK_FINISHED_CONTINUE;
611 }
612
613 /*
614  * Construct a message to be sent from the server to the client.
615  *
616  * Valid return values are:
617  *   1: Success
618  *   0: Error
619  */
620 int ossl_statem_server_construct_message(SSL *s)
621 {
622     OSSL_STATEM *st = &s->statem;
623
624     switch (st->hand_state) {
625     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
626         return dtls_construct_hello_verify_request(s);
627
628     case TLS_ST_SW_HELLO_REQ:
629         return tls_construct_hello_request(s);
630
631     case TLS_ST_SW_SRVR_HELLO:
632         return tls_construct_server_hello(s);
633
634     case TLS_ST_SW_CERT:
635         return tls_construct_server_certificate(s);
636
637     case TLS_ST_SW_KEY_EXCH:
638         return tls_construct_server_key_exchange(s);
639
640     case TLS_ST_SW_CERT_REQ:
641         return tls_construct_certificate_request(s);
642
643     case TLS_ST_SW_SRVR_DONE:
644         return tls_construct_server_done(s);
645
646     case TLS_ST_SW_SESSION_TICKET:
647         return tls_construct_new_session_ticket(s);
648
649     case TLS_ST_SW_CERT_STATUS:
650         return tls_construct_cert_status(s);
651
652     case TLS_ST_SW_CHANGE:
653         if (SSL_IS_DTLS(s))
654             return dtls_construct_change_cipher_spec(s);
655         else
656             return tls_construct_change_cipher_spec(s);
657
658     case TLS_ST_SW_FINISHED:
659         return tls_construct_finished(s,
660                                       s->method->
661                                       ssl3_enc->server_finished_label,
662                                       s->method->
663                                       ssl3_enc->server_finished_label_len);
664
665     default:
666         /* Shouldn't happen */
667         break;
668     }
669
670     return 0;
671 }
672
673 /*
674  * Maximum size (excluding the Handshake header) of a ClientHello message,
675  * calculated as follows:
676  *
677  *  2 + # client_version
678  *  32 + # only valid length for random
679  *  1 + # length of session_id
680  *  32 + # maximum size for session_id
681  *  2 + # length of cipher suites
682  *  2^16-2 + # maximum length of cipher suites array
683  *  1 + # length of compression_methods
684  *  2^8-1 + # maximum length of compression methods
685  *  2 + # length of extensions
686  *  2^16-1 # maximum length of extensions
687  */
688 #define CLIENT_HELLO_MAX_LENGTH         131396
689
690 #define CLIENT_KEY_EXCH_MAX_LENGTH      2048
691 #define NEXT_PROTO_MAX_LENGTH           514
692
693 /*
694  * Returns the maximum allowed length for the current message that we are
695  * reading. Excludes the message header.
696  */
697 unsigned long ossl_statem_server_max_message_size(SSL *s)
698 {
699     OSSL_STATEM *st = &s->statem;
700
701     switch (st->hand_state) {
702     case TLS_ST_SR_CLNT_HELLO:
703         return CLIENT_HELLO_MAX_LENGTH;
704
705     case TLS_ST_SR_CERT:
706         return s->max_cert_list;
707
708     case TLS_ST_SR_KEY_EXCH:
709         return CLIENT_KEY_EXCH_MAX_LENGTH;
710
711     case TLS_ST_SR_CERT_VRFY:
712         return SSL3_RT_MAX_PLAIN_LENGTH;
713
714 #ifndef OPENSSL_NO_NEXTPROTONEG
715     case TLS_ST_SR_NEXT_PROTO:
716         return NEXT_PROTO_MAX_LENGTH;
717 #endif
718
719     case TLS_ST_SR_CHANGE:
720         return CCS_MAX_LENGTH;
721
722     case TLS_ST_SR_FINISHED:
723         return FINISHED_MAX_LENGTH;
724
725     default:
726         /* Shouldn't happen */
727         break;
728     }
729
730     return 0;
731 }
732
733 /*
734  * Process a message that the server has received from the client.
735  */
736 MSG_PROCESS_RETURN ossl_statem_server_process_message(SSL *s, PACKET *pkt)
737 {
738     OSSL_STATEM *st = &s->statem;
739
740     switch (st->hand_state) {
741     case TLS_ST_SR_CLNT_HELLO:
742         return tls_process_client_hello(s, pkt);
743
744     case TLS_ST_SR_CERT:
745         return tls_process_client_certificate(s, pkt);
746
747     case TLS_ST_SR_KEY_EXCH:
748         return tls_process_client_key_exchange(s, pkt);
749
750     case TLS_ST_SR_CERT_VRFY:
751         return tls_process_cert_verify(s, pkt);
752
753 #ifndef OPENSSL_NO_NEXTPROTONEG
754     case TLS_ST_SR_NEXT_PROTO:
755         return tls_process_next_proto(s, pkt);
756 #endif
757
758     case TLS_ST_SR_CHANGE:
759         return tls_process_change_cipher_spec(s, pkt);
760
761     case TLS_ST_SR_FINISHED:
762         return tls_process_finished(s, pkt);
763
764     default:
765         /* Shouldn't happen */
766         break;
767     }
768
769     return MSG_PROCESS_ERROR;
770 }
771
772 /*
773  * Perform any further processing required following the receipt of a message
774  * from the client
775  */
776 WORK_STATE ossl_statem_server_post_process_message(SSL *s, WORK_STATE wst)
777 {
778     OSSL_STATEM *st = &s->statem;
779
780     switch (st->hand_state) {
781     case TLS_ST_SR_CLNT_HELLO:
782         return tls_post_process_client_hello(s, wst);
783
784     case TLS_ST_SR_KEY_EXCH:
785         return tls_post_process_client_key_exchange(s, wst);
786
787     case TLS_ST_SR_CERT_VRFY:
788 #ifndef OPENSSL_NO_SCTP
789         if (    /* Is this SCTP? */
790                 BIO_dgram_is_sctp(SSL_get_wbio(s))
791                 /* Are we renegotiating? */
792                 && s->renegotiate
793                 && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
794             s->s3->in_read_app_data = 2;
795             s->rwstate = SSL_READING;
796             BIO_clear_retry_flags(SSL_get_rbio(s));
797             BIO_set_retry_read(SSL_get_rbio(s));
798             ossl_statem_set_sctp_read_sock(s, 1);
799             return WORK_MORE_A;
800         } else {
801             ossl_statem_set_sctp_read_sock(s, 0);
802         }
803 #endif
804         return WORK_FINISHED_CONTINUE;
805
806     default:
807         break;
808     }
809
810     /* Shouldn't happen */
811     return WORK_ERROR;
812 }
813
814 #ifndef OPENSSL_NO_SRP
815 static int ssl_check_srp_ext_ClientHello(SSL *s, int *al)
816 {
817     int ret = SSL_ERROR_NONE;
818
819     *al = SSL_AD_UNRECOGNIZED_NAME;
820
821     if ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) &&
822         (s->srp_ctx.TLS_ext_srp_username_callback != NULL)) {
823         if (s->srp_ctx.login == NULL) {
824             /*
825              * RFC 5054 says SHOULD reject, we do so if There is no srp
826              * login name
827              */
828             ret = SSL3_AL_FATAL;
829             *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
830         } else {
831             ret = SSL_srp_server_param_with_username(s, al);
832         }
833     }
834     return ret;
835 }
836 #endif
837
838 int tls_construct_hello_request(SSL *s)
839 {
840     if (!ssl_set_handshake_header(s, SSL3_MT_HELLO_REQUEST, 0)) {
841         SSLerr(SSL_F_TLS_CONSTRUCT_HELLO_REQUEST, ERR_R_INTERNAL_ERROR);
842         ossl_statem_set_error(s);
843         return 0;
844     }
845
846     return 1;
847 }
848
849 unsigned int dtls_raw_hello_verify_request(unsigned char *buf,
850                                             unsigned char *cookie,
851                                             unsigned char cookie_len)
852 {
853     unsigned int msg_len;
854     unsigned char *p;
855
856     p = buf;
857     /* Always use DTLS 1.0 version: see RFC 6347 */
858     *(p++) = DTLS1_VERSION >> 8;
859     *(p++) = DTLS1_VERSION & 0xFF;
860
861     *(p++) = (unsigned char)cookie_len;
862     memcpy(p, cookie, cookie_len);
863     p += cookie_len;
864     msg_len = p - buf;
865
866     return msg_len;
867 }
868
869 int dtls_construct_hello_verify_request(SSL *s)
870 {
871     unsigned int len;
872     unsigned char *buf;
873
874     buf = (unsigned char *)s->init_buf->data;
875
876     if (s->ctx->app_gen_cookie_cb == NULL ||
877         s->ctx->app_gen_cookie_cb(s, s->d1->cookie,
878                                   &(s->d1->cookie_len)) == 0 ||
879         s->d1->cookie_len > 255) {
880         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST,
881                SSL_R_COOKIE_GEN_CALLBACK_FAILURE);
882         ossl_statem_set_error(s);
883         return 0;
884     }
885
886     len = dtls_raw_hello_verify_request(&buf[DTLS1_HM_HEADER_LENGTH],
887                                          s->d1->cookie, s->d1->cookie_len);
888
889     dtls1_set_message_header(s, DTLS1_MT_HELLO_VERIFY_REQUEST, len, 0,
890                              len);
891     len += DTLS1_HM_HEADER_LENGTH;
892
893     /* number of bytes to write */
894     s->init_num = len;
895     s->init_off = 0;
896
897     return 1;
898 }
899
900 MSG_PROCESS_RETURN tls_process_client_hello(SSL *s, PACKET *pkt)
901 {
902     int i, al = SSL_AD_INTERNAL_ERROR;
903     unsigned int j, complen = 0;
904     unsigned long id;
905     const SSL_CIPHER *c;
906 #ifndef OPENSSL_NO_COMP
907     SSL_COMP *comp = NULL;
908 #endif
909     STACK_OF(SSL_CIPHER) *ciphers = NULL;
910     int protverr;
911     /* |cookie| will only be initialized for DTLS. */
912     PACKET session_id, cipher_suites, compression, extensions, cookie;
913     int is_v2_record;
914     static const unsigned char null_compression = 0;
915
916     is_v2_record = RECORD_LAYER_is_sslv2_record(&s->rlayer);
917
918     PACKET_null_init(&cookie);
919     /* First lets get s->client_version set correctly */
920     if (is_v2_record) {
921         unsigned int version;
922         unsigned int mt;
923         /*-
924          * An SSLv3/TLSv1 backwards-compatible CLIENT-HELLO in an SSLv2
925          * header is sent directly on the wire, not wrapped as a TLS
926          * record. Our record layer just processes the message length and passes
927          * the rest right through. Its format is:
928          * Byte  Content
929          * 0-1   msg_length - decoded by the record layer
930          * 2     msg_type - s->init_msg points here
931          * 3-4   version
932          * 5-6   cipher_spec_length
933          * 7-8   session_id_length
934          * 9-10  challenge_length
935          * ...   ...
936          */
937
938         if (!PACKET_get_1(pkt, &mt)
939                 || mt != SSL2_MT_CLIENT_HELLO) {
940             /*
941              * Should never happen. We should have tested this in the record
942              * layer in order to have determined that this is a SSLv2 record
943              * in the first place
944              */
945             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
946             goto err;
947         }
948
949         if (!PACKET_get_net_2(pkt, &version)) {
950             /* No protocol version supplied! */
951             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
952             goto err;
953         }
954         if (version == 0x0002) {
955             /* This is real SSLv2. We don't support it. */
956             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
957             goto err;
958         } else if ((version & 0xff00) == (SSL3_VERSION_MAJOR << 8)) {
959             /* SSLv3/TLS */
960             s->client_version = version;
961         } else {
962             /* No idea what protocol this is */
963             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
964             goto err;
965         }
966     } else {
967         /*
968          * use version from inside client hello, not from record header (may
969          * differ: see RFC 2246, Appendix E, second paragraph)
970          */
971         if (!PACKET_get_net_2(pkt, (unsigned int *)&s->client_version)) {
972             al = SSL_AD_DECODE_ERROR;
973             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_TOO_SHORT);
974             goto f_err;
975         }
976     }
977
978     /*
979      * Do SSL/TLS version negotiation if applicable. For DTLS we just check
980      * versions are potentially compatible. Version negotiation comes later.
981      */
982     if (!SSL_IS_DTLS(s)) {
983         protverr = ssl_choose_server_version(s);
984     } else if (s->method->version != DTLS_ANY_VERSION &&
985                DTLS_VERSION_LT(s->client_version, s->version)) {
986         protverr = SSL_R_VERSION_TOO_LOW;
987     } else {
988         protverr = 0;
989     }
990
991     if (protverr) {
992         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
993         if ((!s->enc_write_ctx && !s->write_hash)) {
994             /*
995              * similar to ssl3_get_record, send alert using remote version
996              * number
997              */
998             s->version = s->client_version;
999         }
1000         al = SSL_AD_PROTOCOL_VERSION;
1001         goto f_err;
1002     }
1003
1004     /* Parse the message and load client random. */
1005     if (is_v2_record) {
1006         /*
1007          * Handle an SSLv2 backwards compatible ClientHello
1008          * Note, this is only for SSLv3+ using the backward compatible format.
1009          * Real SSLv2 is not supported, and is rejected above.
1010          */
1011         unsigned int cipher_len, session_id_len, challenge_len;
1012         PACKET challenge;
1013
1014         if (!PACKET_get_net_2(pkt, &cipher_len)
1015                 || !PACKET_get_net_2(pkt, &session_id_len)
1016                 || !PACKET_get_net_2(pkt, &challenge_len)) {
1017             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1018                    SSL_R_RECORD_LENGTH_MISMATCH);
1019             al = SSL_AD_DECODE_ERROR;
1020             goto f_err;
1021         }
1022
1023         if (session_id_len > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1024             al = SSL_AD_DECODE_ERROR;
1025             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1026             goto f_err;
1027         }
1028
1029         if (!PACKET_get_sub_packet(pkt, &cipher_suites, cipher_len)
1030             || !PACKET_get_sub_packet(pkt, &session_id, session_id_len)
1031             || !PACKET_get_sub_packet(pkt, &challenge, challenge_len)
1032             /* No extensions. */
1033             || PACKET_remaining(pkt) != 0) {
1034             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1035                    SSL_R_RECORD_LENGTH_MISMATCH);
1036             al = SSL_AD_DECODE_ERROR;
1037             goto f_err;
1038         }
1039
1040         /* Load the client random and compression list. */
1041         challenge_len = challenge_len > SSL3_RANDOM_SIZE ? SSL3_RANDOM_SIZE :
1042             challenge_len;
1043         memset(s->s3->client_random, 0, SSL3_RANDOM_SIZE);
1044         if (!PACKET_copy_bytes(&challenge,
1045                                s->s3->client_random + SSL3_RANDOM_SIZE -
1046                                challenge_len, challenge_len)
1047             /* Advertise only null compression. */
1048             || !PACKET_buf_init(&compression, &null_compression, 1)) {
1049             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1050             al = SSL_AD_INTERNAL_ERROR;
1051             goto f_err;
1052         }
1053
1054         PACKET_null_init(&extensions);
1055     } else {
1056         /* Regular ClientHello. */
1057         if (!PACKET_copy_bytes(pkt, s->s3->client_random, SSL3_RANDOM_SIZE)
1058             || !PACKET_get_length_prefixed_1(pkt, &session_id)) {
1059             al = SSL_AD_DECODE_ERROR;
1060             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1061             goto f_err;
1062         }
1063
1064         if (PACKET_remaining(&session_id) > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1065             al = SSL_AD_DECODE_ERROR;
1066             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1067             goto f_err;
1068         }
1069
1070         if (SSL_IS_DTLS(s)) {
1071             if (!PACKET_get_length_prefixed_1(pkt, &cookie)) {
1072                 al = SSL_AD_DECODE_ERROR;
1073                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1074                 goto f_err;
1075             }
1076             /*
1077              * If we require cookies and this ClientHello doesn't contain one,
1078              * just return since we do not want to allocate any memory yet.
1079              * So check cookie length...
1080              */
1081             if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1082                 if (PACKET_remaining(&cookie) == 0)
1083                 return 1;
1084             }
1085         }
1086
1087         if (!PACKET_get_length_prefixed_2(pkt, &cipher_suites)
1088             || !PACKET_get_length_prefixed_1(pkt, &compression)) {
1089                 al = SSL_AD_DECODE_ERROR;
1090                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1091                 goto f_err;
1092         }
1093         /* Could be empty. */
1094         extensions = *pkt;
1095     }
1096
1097     if (SSL_IS_DTLS(s)) {
1098         /* Empty cookie was already handled above by returning early. */
1099         if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1100             if (s->ctx->app_verify_cookie_cb != NULL) {
1101                 if (s->ctx->app_verify_cookie_cb(s, PACKET_data(&cookie),
1102                                                  PACKET_remaining(&cookie)) == 0) {
1103                     al = SSL_AD_HANDSHAKE_FAILURE;
1104                     SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1105                            SSL_R_COOKIE_MISMATCH);
1106                     goto f_err;
1107                     /* else cookie verification succeeded */
1108                 }
1109             /* default verification */
1110             } else if (!PACKET_equal(&cookie, s->d1->cookie,
1111                                      s->d1->cookie_len)) {
1112                 al = SSL_AD_HANDSHAKE_FAILURE;
1113                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_COOKIE_MISMATCH);
1114                 goto f_err;
1115             }
1116             s->d1->cookie_verified = 1;
1117         }
1118         if (s->method->version == DTLS_ANY_VERSION) {
1119             protverr = ssl_choose_server_version(s);
1120             if (protverr != 0) {
1121                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1122                 s->version = s->client_version;
1123                 al = SSL_AD_PROTOCOL_VERSION;
1124                 goto f_err;
1125             }
1126         }
1127     }
1128
1129     s->hit = 0;
1130
1131     /*
1132      * We don't allow resumption in a backwards compatible ClientHello.
1133      * TODO(openssl-team): in TLS1.1+, session_id MUST be empty.
1134      *
1135      * Versions before 0.9.7 always allow clients to resume sessions in
1136      * renegotiation. 0.9.7 and later allow this by default, but optionally
1137      * ignore resumption requests with flag
1138      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION (it's a new flag rather
1139      * than a change to default behavior so that applications relying on
1140      * this for security won't even compile against older library versions).
1141      * 1.0.1 and later also have a function SSL_renegotiate_abbreviated() to
1142      * request renegotiation but not a new session (s->new_session remains
1143      * unset): for servers, this essentially just means that the
1144      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION setting will be
1145      * ignored.
1146      */
1147     if (is_v2_record ||
1148         (s->new_session &&
1149          (s->options & SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION))) {
1150         if (!ssl_get_new_session(s, 1))
1151             goto err;
1152     } else {
1153         i = ssl_get_prev_session(s, &extensions, &session_id);
1154         /*
1155          * Only resume if the session's version matches the negotiated
1156          * version.
1157          * RFC 5246 does not provide much useful advice on resumption
1158          * with a different protocol version. It doesn't forbid it but
1159          * the sanity of such behaviour would be questionable.
1160          * In practice, clients do not accept a version mismatch and
1161          * will abort the handshake with an error.
1162          */
1163         if (i == 1 && s->version == s->session->ssl_version) {
1164             /* previous session */
1165             s->hit = 1;
1166         } else if (i == -1) {
1167             goto err;
1168         } else {
1169             /* i == 0 */
1170             if (!ssl_get_new_session(s, 1))
1171                 goto err;
1172         }
1173     }
1174
1175     if (ssl_bytes_to_cipher_list(s, &cipher_suites, &(ciphers),
1176                                  is_v2_record, &al) == NULL) {
1177         goto f_err;
1178     }
1179
1180     /* If it is a hit, check that the cipher is in the list */
1181     if (s->hit) {
1182         j = 0;
1183         id = s->session->cipher->id;
1184
1185 #ifdef CIPHER_DEBUG
1186         fprintf(stderr, "client sent %d ciphers\n",
1187                 sk_SSL_CIPHER_num(ciphers));
1188 #endif
1189         for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
1190             c = sk_SSL_CIPHER_value(ciphers, i);
1191 #ifdef CIPHER_DEBUG
1192             fprintf(stderr, "client [%2d of %2d]:%s\n",
1193                     i, sk_SSL_CIPHER_num(ciphers), SSL_CIPHER_get_name(c));
1194 #endif
1195             if (c->id == id) {
1196                 j = 1;
1197                 break;
1198             }
1199         }
1200         if (j == 0) {
1201             /*
1202              * we need to have the cipher in the cipher list if we are asked
1203              * to reuse it
1204              */
1205             al = SSL_AD_ILLEGAL_PARAMETER;
1206             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1207                    SSL_R_REQUIRED_CIPHER_MISSING);
1208             goto f_err;
1209         }
1210     }
1211
1212     complen = PACKET_remaining(&compression);
1213     for (j = 0; j < complen; j++) {
1214         if (PACKET_data(&compression)[j] == 0)
1215             break;
1216     }
1217
1218     if (j >= complen) {
1219         /* no compress */
1220         al = SSL_AD_DECODE_ERROR;
1221         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_COMPRESSION_SPECIFIED);
1222         goto f_err;
1223     }
1224
1225     /* TLS extensions */
1226     if (s->version >= SSL3_VERSION) {
1227         if (!ssl_parse_clienthello_tlsext(s, &extensions)) {
1228             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_PARSE_TLSEXT);
1229             goto err;
1230         }
1231     }
1232
1233     /*
1234      * Check if we want to use external pre-shared secret for this handshake
1235      * for not reused session only. We need to generate server_random before
1236      * calling tls_session_secret_cb in order to allow SessionTicket
1237      * processing to use it in key derivation.
1238      */
1239     {
1240         unsigned char *pos;
1241         pos = s->s3->server_random;
1242         if (ssl_fill_hello_random(s, 1, pos, SSL3_RANDOM_SIZE) <= 0) {
1243             goto f_err;
1244         }
1245     }
1246
1247     if (!s->hit && s->version >= TLS1_VERSION && s->tls_session_secret_cb) {
1248         const SSL_CIPHER *pref_cipher = NULL;
1249
1250         s->session->master_key_length = sizeof(s->session->master_key);
1251         if (s->tls_session_secret_cb(s, s->session->master_key,
1252                                      &s->session->master_key_length, ciphers,
1253                                      &pref_cipher,
1254                                      s->tls_session_secret_cb_arg)) {
1255             s->hit = 1;
1256             s->session->ciphers = ciphers;
1257             s->session->verify_result = X509_V_OK;
1258
1259             ciphers = NULL;
1260
1261             /* check if some cipher was preferred by call back */
1262             pref_cipher =
1263                 pref_cipher ? pref_cipher : ssl3_choose_cipher(s,
1264                                                                s->
1265                                                                session->ciphers,
1266                                                                SSL_get_ciphers
1267                                                                (s));
1268             if (pref_cipher == NULL) {
1269                 al = SSL_AD_HANDSHAKE_FAILURE;
1270                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1271                 goto f_err;
1272             }
1273
1274             s->session->cipher = pref_cipher;
1275             sk_SSL_CIPHER_free(s->cipher_list);
1276             s->cipher_list = sk_SSL_CIPHER_dup(s->session->ciphers);
1277             sk_SSL_CIPHER_free(s->cipher_list_by_id);
1278             s->cipher_list_by_id = sk_SSL_CIPHER_dup(s->session->ciphers);
1279         }
1280     }
1281
1282     /*
1283      * Worst case, we will use the NULL compression, but if we have other
1284      * options, we will now look for them.  We have complen-1 compression
1285      * algorithms from the client, starting at q.
1286      */
1287     s->s3->tmp.new_compression = NULL;
1288 #ifndef OPENSSL_NO_COMP
1289     /* This only happens if we have a cache hit */
1290     if (s->session->compress_meth != 0) {
1291         int m, comp_id = s->session->compress_meth;
1292         unsigned int k;
1293         /* Perform sanity checks on resumed compression algorithm */
1294         /* Can't disable compression */
1295         if (!ssl_allow_compression(s)) {
1296             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1297                    SSL_R_INCONSISTENT_COMPRESSION);
1298             goto f_err;
1299         }
1300         /* Look for resumed compression method */
1301         for (m = 0; m < sk_SSL_COMP_num(s->ctx->comp_methods); m++) {
1302             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1303             if (comp_id == comp->id) {
1304                 s->s3->tmp.new_compression = comp;
1305                 break;
1306             }
1307         }
1308         if (s->s3->tmp.new_compression == NULL) {
1309             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1310                    SSL_R_INVALID_COMPRESSION_ALGORITHM);
1311             goto f_err;
1312         }
1313         /* Look for resumed method in compression list */
1314         for (k = 0; k < complen; k++) {
1315             if (PACKET_data(&compression)[k] == comp_id)
1316                 break;
1317         }
1318         if (k >= complen) {
1319             al = SSL_AD_ILLEGAL_PARAMETER;
1320             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1321                    SSL_R_REQUIRED_COMPRESSION_ALGORITHM_MISSING);
1322             goto f_err;
1323         }
1324     } else if (s->hit)
1325         comp = NULL;
1326     else if (ssl_allow_compression(s) && s->ctx->comp_methods) {
1327         /* See if we have a match */
1328         int m, nn, v, done = 0;
1329         unsigned int o;
1330
1331         nn = sk_SSL_COMP_num(s->ctx->comp_methods);
1332         for (m = 0; m < nn; m++) {
1333             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1334             v = comp->id;
1335             for (o = 0; o < complen; o++) {
1336                 if (v == PACKET_data(&compression)[o]) {
1337                     done = 1;
1338                     break;
1339                 }
1340             }
1341             if (done)
1342                 break;
1343         }
1344         if (done)
1345             s->s3->tmp.new_compression = comp;
1346         else
1347             comp = NULL;
1348     }
1349 #else
1350     /*
1351      * If compression is disabled we'd better not try to resume a session
1352      * using compression.
1353      */
1354     if (s->session->compress_meth != 0) {
1355         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_INCONSISTENT_COMPRESSION);
1356         goto f_err;
1357     }
1358 #endif
1359
1360     /*
1361      * Given s->session->ciphers and SSL_get_ciphers, we must pick a cipher
1362      */
1363
1364     if (!s->hit) {
1365 #ifdef OPENSSL_NO_COMP
1366         s->session->compress_meth = 0;
1367 #else
1368         s->session->compress_meth = (comp == NULL) ? 0 : comp->id;
1369 #endif
1370         sk_SSL_CIPHER_free(s->session->ciphers);
1371         s->session->ciphers = ciphers;
1372         if (ciphers == NULL) {
1373             al = SSL_AD_INTERNAL_ERROR;
1374             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1375             goto f_err;
1376         }
1377         ciphers = NULL;
1378         if (!tls1_set_server_sigalgs(s)) {
1379             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1380             goto err;
1381         }
1382     }
1383
1384     sk_SSL_CIPHER_free(ciphers);
1385     return MSG_PROCESS_CONTINUE_PROCESSING;
1386  f_err:
1387     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1388  err:
1389     ossl_statem_set_error(s);
1390
1391     sk_SSL_CIPHER_free(ciphers);
1392     return MSG_PROCESS_ERROR;
1393
1394 }
1395
1396 WORK_STATE tls_post_process_client_hello(SSL *s, WORK_STATE wst)
1397 {
1398     int al = SSL_AD_HANDSHAKE_FAILURE;
1399     const SSL_CIPHER *cipher;
1400
1401     if (wst == WORK_MORE_A) {
1402         if (!s->hit) {
1403             /* Let cert callback update server certificates if required */
1404             if (s->cert->cert_cb) {
1405                 int rv = s->cert->cert_cb(s, s->cert->cert_cb_arg);
1406                 if (rv == 0) {
1407                     al = SSL_AD_INTERNAL_ERROR;
1408                     SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO, SSL_R_CERT_CB_ERROR);
1409                     goto f_err;
1410                 }
1411                 if (rv < 0) {
1412                     s->rwstate = SSL_X509_LOOKUP;
1413                     return WORK_MORE_A;
1414                 }
1415                 s->rwstate = SSL_NOTHING;
1416             }
1417             cipher = ssl3_choose_cipher(s, s->session->ciphers, SSL_get_ciphers(s));
1418
1419             if (cipher == NULL) {
1420                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1421                 goto f_err;
1422             }
1423             s->s3->tmp.new_cipher = cipher;
1424             /* check whether we should disable session resumption */
1425             if (s->not_resumable_session_cb != NULL)
1426                 s->session->not_resumable = s->not_resumable_session_cb(s,
1427                     ((cipher->algorithm_mkey & (SSL_kDHE | SSL_kECDHE)) != 0));
1428             if (s->session->not_resumable)
1429                 /* do not send a session ticket */
1430                 s->tlsext_ticket_expected = 0;
1431         } else {
1432             /* Session-id reuse */
1433             s->s3->tmp.new_cipher = s->session->cipher;
1434         }
1435
1436         if (!(s->verify_mode & SSL_VERIFY_PEER)) {
1437             if (!ssl3_digest_cached_records(s, 0)) {
1438                 al = SSL_AD_INTERNAL_ERROR;
1439                 goto f_err;
1440             }
1441         }
1442
1443         /*-
1444          * we now have the following setup.
1445          * client_random
1446          * cipher_list          - our prefered list of ciphers
1447          * ciphers              - the clients prefered list of ciphers
1448          * compression          - basically ignored right now
1449          * ssl version is set   - sslv3
1450          * s->session           - The ssl session has been setup.
1451          * s->hit               - session reuse flag
1452          * s->s3->tmp.new_cipher- the new cipher to use.
1453          */
1454
1455         /* Handles TLS extensions that we couldn't check earlier */
1456         if (s->version >= SSL3_VERSION) {
1457             if (!ssl_check_clienthello_tlsext_late(s, &al)) {
1458                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1459                        SSL_R_CLIENTHELLO_TLSEXT);
1460                 goto f_err;
1461             }
1462         }
1463
1464         wst = WORK_MORE_B;
1465     }
1466 #ifndef OPENSSL_NO_SRP
1467     if (wst == WORK_MORE_B) {
1468         int ret;
1469         if ((ret = ssl_check_srp_ext_ClientHello(s, &al)) < 0) {
1470             /*
1471              * callback indicates further work to be done
1472              */
1473             s->rwstate = SSL_X509_LOOKUP;
1474             return WORK_MORE_B;
1475         }
1476         if (ret != SSL_ERROR_NONE) {
1477             /*
1478              * This is not really an error but the only means to for
1479              * a client to detect whether srp is supported.
1480              */
1481             if (al != TLS1_AD_UNKNOWN_PSK_IDENTITY)
1482                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1483                            SSL_R_CLIENTHELLO_TLSEXT);
1484             goto f_err;
1485         }
1486     }
1487 #endif
1488     s->renegotiate = 2;
1489
1490     return WORK_FINISHED_STOP;
1491  f_err:
1492     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1493     ossl_statem_set_error(s);
1494     return WORK_ERROR;
1495 }
1496
1497 int tls_construct_server_hello(SSL *s)
1498 {
1499     unsigned char *buf;
1500     unsigned char *p, *d;
1501     int i, sl;
1502     int al = 0;
1503     unsigned long l;
1504
1505     buf = (unsigned char *)s->init_buf->data;
1506
1507     /* Do the message type and length last */
1508     d = p = ssl_handshake_start(s);
1509
1510     *(p++) = s->version >> 8;
1511     *(p++) = s->version & 0xff;
1512
1513     /*
1514      * Random stuff. Filling of the server_random takes place in
1515      * tls_process_client_hello()
1516      */
1517     memcpy(p, s->s3->server_random, SSL3_RANDOM_SIZE);
1518     p += SSL3_RANDOM_SIZE;
1519
1520     /*-
1521      * There are several cases for the session ID to send
1522      * back in the server hello:
1523      * - For session reuse from the session cache,
1524      *   we send back the old session ID.
1525      * - If stateless session reuse (using a session ticket)
1526      *   is successful, we send back the client's "session ID"
1527      *   (which doesn't actually identify the session).
1528      * - If it is a new session, we send back the new
1529      *   session ID.
1530      * - However, if we want the new session to be single-use,
1531      *   we send back a 0-length session ID.
1532      * s->hit is non-zero in either case of session reuse,
1533      * so the following won't overwrite an ID that we're supposed
1534      * to send back.
1535      */
1536     if (s->session->not_resumable ||
1537         (!(s->ctx->session_cache_mode & SSL_SESS_CACHE_SERVER)
1538          && !s->hit))
1539         s->session->session_id_length = 0;
1540
1541     sl = s->session->session_id_length;
1542     if (sl > (int)sizeof(s->session->session_id)) {
1543         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1544         ossl_statem_set_error(s);
1545         return 0;
1546     }
1547     *(p++) = sl;
1548     memcpy(p, s->session->session_id, sl);
1549     p += sl;
1550
1551     /* put the cipher */
1552     i = ssl3_put_cipher_by_char(s->s3->tmp.new_cipher, p);
1553     p += i;
1554
1555     /* put the compression method */
1556 #ifdef OPENSSL_NO_COMP
1557     *(p++) = 0;
1558 #else
1559     if (s->s3->tmp.new_compression == NULL)
1560         *(p++) = 0;
1561     else
1562         *(p++) = s->s3->tmp.new_compression->id;
1563 #endif
1564
1565     if (ssl_prepare_serverhello_tlsext(s) <= 0) {
1566         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, SSL_R_SERVERHELLO_TLSEXT);
1567         ossl_statem_set_error(s);
1568         return 0;
1569     }
1570     if ((p =
1571          ssl_add_serverhello_tlsext(s, p, buf + SSL3_RT_MAX_PLAIN_LENGTH,
1572                                     &al)) == NULL) {
1573         ssl3_send_alert(s, SSL3_AL_FATAL, al);
1574         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1575         ossl_statem_set_error(s);
1576         return 0;
1577     }
1578
1579     /* do the header */
1580     l = (p - d);
1581     if (!ssl_set_handshake_header(s, SSL3_MT_SERVER_HELLO, l)) {
1582         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1583         ossl_statem_set_error(s);
1584         return 0;
1585     }
1586
1587     return 1;
1588 }
1589
1590 int tls_construct_server_done(SSL *s)
1591 {
1592     if (!ssl_set_handshake_header(s, SSL3_MT_SERVER_DONE, 0)) {
1593         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_DONE, ERR_R_INTERNAL_ERROR);
1594         ossl_statem_set_error(s);
1595         return 0;
1596     }
1597
1598     if (!s->s3->tmp.cert_request) {
1599         if (!ssl3_digest_cached_records(s, 0)) {
1600             ossl_statem_set_error(s);
1601         }
1602     }
1603
1604     return 1;
1605 }
1606
1607 int tls_construct_server_key_exchange(SSL *s)
1608 {
1609 #ifndef OPENSSL_NO_DH
1610     EVP_PKEY *pkdh = NULL;
1611 #endif
1612 #ifndef OPENSSL_NO_EC
1613     unsigned char *encodedPoint = NULL;
1614     int encodedlen = 0;
1615     int curve_id = 0;
1616 #endif
1617     EVP_PKEY *pkey;
1618     const EVP_MD *md = NULL;
1619     unsigned char *p, *d;
1620     int al, i;
1621     unsigned long type;
1622     int n;
1623     const BIGNUM *r[4];
1624     int nr[4], kn;
1625     BUF_MEM *buf;
1626     EVP_MD_CTX *md_ctx = EVP_MD_CTX_new();
1627
1628     if (md_ctx == NULL) {
1629         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
1630         al = SSL_AD_INTERNAL_ERROR;
1631         goto f_err;
1632     }
1633
1634     type = s->s3->tmp.new_cipher->algorithm_mkey;
1635
1636     buf = s->init_buf;
1637
1638     r[0] = r[1] = r[2] = r[3] = NULL;
1639     n = 0;
1640 #ifndef OPENSSL_NO_PSK
1641     if (type & SSL_PSK) {
1642         /*
1643          * reserve size for record length and PSK identity hint
1644          */
1645         n += 2;
1646         if (s->cert->psk_identity_hint)
1647             n += strlen(s->cert->psk_identity_hint);
1648     }
1649     /* Plain PSK or RSAPSK nothing to do */
1650     if (type & (SSL_kPSK | SSL_kRSAPSK)) {
1651     } else
1652 #endif                          /* !OPENSSL_NO_PSK */
1653 #ifndef OPENSSL_NO_DH
1654     if (type & (SSL_kDHE | SSL_kDHEPSK)) {
1655         CERT *cert = s->cert;
1656
1657         EVP_PKEY *pkdhp = NULL;
1658         DH *dh;
1659
1660         if (s->cert->dh_tmp_auto) {
1661             DH *dhp = ssl_get_auto_dh(s);
1662             pkdh = EVP_PKEY_new();
1663             if (pkdh == NULL || dhp == NULL) {
1664                 DH_free(dhp);
1665                 al = SSL_AD_INTERNAL_ERROR;
1666                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1667                        ERR_R_INTERNAL_ERROR);
1668                 goto f_err;
1669             }
1670             EVP_PKEY_assign_DH(pkdh, dhp);
1671             pkdhp = pkdh;
1672         } else {
1673             pkdhp = cert->dh_tmp;
1674         }
1675         if ((pkdhp == NULL) && (s->cert->dh_tmp_cb != NULL)) {
1676             DH *dhp = s->cert->dh_tmp_cb(s, 0, 1024);
1677             pkdh = ssl_dh_to_pkey(dhp);
1678             if (pkdh == NULL) {
1679                 al = SSL_AD_INTERNAL_ERROR;
1680                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1681                        ERR_R_INTERNAL_ERROR);
1682                 goto f_err;
1683             }
1684             pkdhp = pkdh;
1685         }
1686         if (pkdhp == NULL) {
1687             al = SSL_AD_HANDSHAKE_FAILURE;
1688             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1689                    SSL_R_MISSING_TMP_DH_KEY);
1690             goto f_err;
1691         }
1692         if (!ssl_security(s, SSL_SECOP_TMP_DH,
1693                           EVP_PKEY_security_bits(pkdhp), 0, pkdhp)) {
1694             al = SSL_AD_HANDSHAKE_FAILURE;
1695             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1696                    SSL_R_DH_KEY_TOO_SMALL);
1697             goto f_err;
1698         }
1699         if (s->s3->tmp.pkey != NULL) {
1700             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1701                    ERR_R_INTERNAL_ERROR);
1702             goto err;
1703         }
1704
1705         s->s3->tmp.pkey = ssl_generate_pkey(pkdhp, NID_undef);
1706
1707         if (s->s3->tmp.pkey == NULL) {
1708             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1709             goto err;
1710         }
1711
1712         dh = EVP_PKEY_get0_DH(s->s3->tmp.pkey);
1713
1714         EVP_PKEY_free(pkdh);
1715         pkdh = NULL;
1716
1717         DH_get0_pqg(dh, &r[0], NULL, &r[1]);
1718         DH_get0_key(dh, &r[2], NULL);
1719     } else
1720 #endif
1721 #ifndef OPENSSL_NO_EC
1722     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1723         int nid;
1724
1725         if (s->s3->tmp.pkey != NULL) {
1726             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1727                    ERR_R_INTERNAL_ERROR);
1728             goto err;
1729         }
1730
1731         /* Get NID of appropriate shared curve */
1732         nid = tls1_shared_curve(s, -2);
1733         curve_id = tls1_ec_nid2curve_id(nid);
1734         if (curve_id == 0) {
1735             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1736                    SSL_R_UNSUPPORTED_ELLIPTIC_CURVE);
1737             goto err;
1738         }
1739         s->s3->tmp.pkey = ssl_generate_pkey(NULL, nid);
1740         /* Generate a new key for this curve */
1741         if (s->s3->tmp.pkey == NULL) {
1742             al = SSL_AD_INTERNAL_ERROR;
1743             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1744             goto f_err;
1745         }
1746
1747         /* Encode the public key. */
1748         encodedlen = EC_KEY_key2buf(EVP_PKEY_get0_EC_KEY(s->s3->tmp.pkey),
1749                                     POINT_CONVERSION_UNCOMPRESSED,
1750                                     &encodedPoint, NULL);
1751
1752         if (encodedlen == 0) {
1753             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EC_LIB);
1754             goto err;
1755         }
1756
1757         /*
1758          * We only support named (not generic) curves in ECDH ephemeral key
1759          * exchanges. In this situation, we need four additional bytes to
1760          * encode the entire ServerECDHParams structure.
1761          */
1762         n += 4 + encodedlen;
1763
1764         /*
1765          * We'll generate the serverKeyExchange message explicitly so we
1766          * can set these to NULLs
1767          */
1768         r[0] = NULL;
1769         r[1] = NULL;
1770         r[2] = NULL;
1771         r[3] = NULL;
1772     } else
1773 #endif                          /* !OPENSSL_NO_EC */
1774 #ifndef OPENSSL_NO_SRP
1775     if (type & SSL_kSRP) {
1776         if ((s->srp_ctx.N == NULL) ||
1777             (s->srp_ctx.g == NULL) ||
1778             (s->srp_ctx.s == NULL) || (s->srp_ctx.B == NULL)) {
1779             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1780                    SSL_R_MISSING_SRP_PARAM);
1781             goto err;
1782         }
1783         r[0] = s->srp_ctx.N;
1784         r[1] = s->srp_ctx.g;
1785         r[2] = s->srp_ctx.s;
1786         r[3] = s->srp_ctx.B;
1787     } else
1788 #endif
1789     {
1790         al = SSL_AD_HANDSHAKE_FAILURE;
1791         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1792                SSL_R_UNKNOWN_KEY_EXCHANGE_TYPE);
1793         goto f_err;
1794     }
1795     for (i = 0; i < 4 && r[i] != NULL; i++) {
1796         nr[i] = BN_num_bytes(r[i]);
1797 #ifndef OPENSSL_NO_SRP
1798         if ((i == 2) && (type & SSL_kSRP))
1799             n += 1 + nr[i];
1800         else
1801 #endif
1802             n += 2 + nr[i];
1803     }
1804
1805     if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL|SSL_aSRP))
1806         && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)) {
1807         if ((pkey = ssl_get_sign_pkey(s, s->s3->tmp.new_cipher, &md))
1808             == NULL) {
1809             al = SSL_AD_DECODE_ERROR;
1810             goto f_err;
1811         }
1812         kn = EVP_PKEY_size(pkey);
1813         /* Allow space for signature algorithm */
1814         if (SSL_USE_SIGALGS(s))
1815             kn += 2;
1816         /* Allow space for signature length */
1817         kn += 2;
1818     } else {
1819         pkey = NULL;
1820         kn = 0;
1821     }
1822
1823     if (!BUF_MEM_grow_clean(buf, n + SSL_HM_HEADER_LENGTH(s) + kn)) {
1824         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_LIB_BUF);
1825         goto err;
1826     }
1827     d = p = ssl_handshake_start(s);
1828
1829 #ifndef OPENSSL_NO_PSK
1830     if (type & SSL_PSK) {
1831         /* copy PSK identity hint */
1832         if (s->cert->psk_identity_hint) {
1833             size_t len = strlen(s->cert->psk_identity_hint);
1834             if (len > PSK_MAX_IDENTITY_LEN) {
1835                 /*
1836                  * Should not happen - we already checked this when we set
1837                  * the identity hint
1838                  */
1839                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1840                        ERR_R_INTERNAL_ERROR);
1841                 goto err;
1842             }
1843             s2n(len, p);
1844             memcpy(p, s->cert->psk_identity_hint, len);
1845             p += len;
1846         } else {
1847             s2n(0, p);
1848         }
1849     }
1850 #endif
1851
1852     for (i = 0; i < 4 && r[i] != NULL; i++) {
1853 #ifndef OPENSSL_NO_SRP
1854         if ((i == 2) && (type & SSL_kSRP)) {
1855             *p = nr[i];
1856             p++;
1857         } else
1858 #endif
1859             s2n(nr[i], p);
1860         BN_bn2bin(r[i], p);
1861         p += nr[i];
1862     }
1863
1864 #ifndef OPENSSL_NO_EC
1865     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1866         /*
1867          * XXX: For now, we only support named (not generic) curves. In
1868          * this situation, the serverKeyExchange message has: [1 byte
1869          * CurveType], [2 byte CurveName] [1 byte length of encoded
1870          * point], followed by the actual encoded point itself
1871          */
1872         *p = NAMED_CURVE_TYPE;
1873         p += 1;
1874         *p = 0;
1875         p += 1;
1876         *p = curve_id;
1877         p += 1;
1878         *p = encodedlen;
1879         p += 1;
1880         memcpy(p, encodedPoint, encodedlen);
1881         OPENSSL_free(encodedPoint);
1882         encodedPoint = NULL;
1883         p += encodedlen;
1884     }
1885 #endif
1886
1887     /* not anonymous */
1888     if (pkey != NULL) {
1889         /*
1890          * n is the length of the params, they start at &(d[4]) and p
1891          * points to the space at the end.
1892          */
1893         if (md) {
1894             /* send signature algorithm */
1895             if (SSL_USE_SIGALGS(s)) {
1896                 if (!tls12_get_sigandhash(p, pkey, md)) {
1897                     /* Should never happen */
1898                     al = SSL_AD_INTERNAL_ERROR;
1899                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1900                            ERR_R_INTERNAL_ERROR);
1901                     goto f_err;
1902                 }
1903                 p += 2;
1904             }
1905 #ifdef SSL_DEBUG
1906             fprintf(stderr, "Using hash %s\n", EVP_MD_name(md));
1907 #endif
1908             if (EVP_SignInit_ex(md_ctx, md, NULL) <= 0
1909                     || EVP_SignUpdate(md_ctx, &(s->s3->client_random[0]),
1910                                       SSL3_RANDOM_SIZE) <= 0
1911                     || EVP_SignUpdate(md_ctx, &(s->s3->server_random[0]),
1912                                       SSL3_RANDOM_SIZE) <= 0
1913                     || EVP_SignUpdate(md_ctx, d, n) <= 0
1914                     || EVP_SignFinal(md_ctx, &(p[2]),
1915                                (unsigned int *)&i, pkey) <= 0) {
1916                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_LIB_EVP);
1917                 al = SSL_AD_INTERNAL_ERROR;
1918                 goto f_err;
1919             }
1920             s2n(i, p);
1921             n += i + 2;
1922             if (SSL_USE_SIGALGS(s))
1923                 n += 2;
1924         } else {
1925             /* Is this error check actually needed? */
1926             al = SSL_AD_HANDSHAKE_FAILURE;
1927             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1928                    SSL_R_UNKNOWN_PKEY_TYPE);
1929             goto f_err;
1930         }
1931     }
1932
1933     if (!ssl_set_handshake_header(s, SSL3_MT_SERVER_KEY_EXCHANGE, n)) {
1934         al = SSL_AD_HANDSHAKE_FAILURE;
1935         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
1936         goto f_err;
1937     }
1938
1939     EVP_MD_CTX_free(md_ctx);
1940     return 1;
1941  f_err:
1942     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1943  err:
1944 #ifndef OPENSSL_NO_DH
1945     EVP_PKEY_free(pkdh);
1946 #endif
1947 #ifndef OPENSSL_NO_EC
1948     OPENSSL_free(encodedPoint);
1949 #endif
1950     EVP_MD_CTX_free(md_ctx);
1951     ossl_statem_set_error(s);
1952     return 0;
1953 }
1954
1955 int tls_construct_certificate_request(SSL *s)
1956 {
1957     unsigned char *p, *d;
1958     int i, j, nl, off, n;
1959     STACK_OF(X509_NAME) *sk = NULL;
1960     X509_NAME *name;
1961     BUF_MEM *buf;
1962
1963     buf = s->init_buf;
1964
1965     d = p = ssl_handshake_start(s);
1966
1967     /* get the list of acceptable cert types */
1968     p++;
1969     n = ssl3_get_req_cert_type(s, p);
1970     d[0] = n;
1971     p += n;
1972     n++;
1973
1974     if (SSL_USE_SIGALGS(s)) {
1975         const unsigned char *psigs;
1976         unsigned char *etmp = p;
1977         nl = tls12_get_psigalgs(s, &psigs);
1978         /* Skip over length for now */
1979         p += 2;
1980         nl = tls12_copy_sigalgs(s, p, psigs, nl);
1981         /* Now fill in length */
1982         s2n(nl, etmp);
1983         p += nl;
1984         n += nl + 2;
1985     }
1986
1987     off = n;
1988     p += 2;
1989     n += 2;
1990
1991     sk = SSL_get_client_CA_list(s);
1992     nl = 0;
1993     if (sk != NULL) {
1994         for (i = 0; i < sk_X509_NAME_num(sk); i++) {
1995             name = sk_X509_NAME_value(sk, i);
1996             j = i2d_X509_NAME(name, NULL);
1997             if (!BUF_MEM_grow_clean
1998                 (buf, SSL_HM_HEADER_LENGTH(s) + n + j + 2)) {
1999                 SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
2000                        ERR_R_BUF_LIB);
2001                 goto err;
2002             }
2003             p = ssl_handshake_start(s) + n;
2004             s2n(j, p);
2005             i2d_X509_NAME(name, &p);
2006             n += 2 + j;
2007             nl += 2 + j;
2008         }
2009     }
2010     /* else no CA names */
2011     p = ssl_handshake_start(s) + off;
2012     s2n(nl, p);
2013
2014     if (!ssl_set_handshake_header(s, SSL3_MT_CERTIFICATE_REQUEST, n)) {
2015         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2016         goto err;
2017     }
2018
2019     s->s3->tmp.cert_request = 1;
2020
2021     return 1;
2022  err:
2023     ossl_statem_set_error(s);
2024     return 0;
2025 }
2026
2027 static int tls_process_cke_psk_preamble(SSL *s, PACKET *pkt, int *al)
2028 {
2029 #ifndef OPENSSL_NO_PSK
2030     unsigned char psk[PSK_MAX_PSK_LEN];
2031     size_t psklen;
2032     PACKET psk_identity;
2033
2034     if (!PACKET_get_length_prefixed_2(pkt, &psk_identity)) {
2035         *al = SSL_AD_DECODE_ERROR;
2036         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_LENGTH_MISMATCH);
2037         return 0;
2038     }
2039     if (PACKET_remaining(&psk_identity) > PSK_MAX_IDENTITY_LEN) {
2040         *al = SSL_AD_DECODE_ERROR;
2041         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_DATA_LENGTH_TOO_LONG);
2042         return 0;
2043     }
2044     if (s->psk_server_callback == NULL) {
2045         *al = SSL_AD_INTERNAL_ERROR;
2046         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE,
2047                SSL_R_PSK_NO_SERVER_CB);
2048         return 0;
2049     }
2050
2051     if (!PACKET_strndup(&psk_identity, &s->session->psk_identity)) {
2052         *al = SSL_AD_INTERNAL_ERROR;
2053         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2054         return 0;
2055     }
2056
2057     psklen = s->psk_server_callback(s, s->session->psk_identity,
2058                                      psk, sizeof(psk));
2059
2060     if (psklen > PSK_MAX_PSK_LEN) {
2061         *al = SSL_AD_INTERNAL_ERROR;
2062         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2063         return 0;
2064     } else if (psklen == 0) {
2065         /*
2066          * PSK related to the given identity not found
2067          */
2068         *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
2069         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE,
2070                SSL_R_PSK_IDENTITY_NOT_FOUND);
2071         return 0;
2072     }
2073
2074     OPENSSL_free(s->s3->tmp.psk);
2075     s->s3->tmp.psk = OPENSSL_memdup(psk, psklen);
2076     OPENSSL_cleanse(psk, psklen);
2077
2078     if (s->s3->tmp.psk == NULL) {
2079         *al = SSL_AD_INTERNAL_ERROR;
2080         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_MALLOC_FAILURE);
2081         return 0;
2082     }
2083
2084     s->s3->tmp.psklen = psklen;
2085
2086     return 1;
2087 #else
2088     /* Should never happen */
2089     *al = SSL_AD_INTERNAL_ERROR;
2090     SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2091     return 0;
2092 #endif
2093 }
2094
2095
2096 static int tls_process_cke_rsa(SSL *s, PACKET *pkt, int *al)
2097 {
2098 #ifndef OPENSSL_NO_RSA
2099     unsigned char rand_premaster_secret[SSL_MAX_MASTER_KEY_LENGTH];
2100     int decrypt_len;
2101     unsigned char decrypt_good, version_good;
2102     size_t j, padding_len;
2103     PACKET enc_premaster;
2104     RSA *rsa = NULL;
2105     unsigned char *rsa_decrypt = NULL;
2106     int ret = 0;
2107
2108     rsa = EVP_PKEY_get0_RSA(s->cert->pkeys[SSL_PKEY_RSA_ENC].privatekey);
2109     if (rsa == NULL) {
2110         *al = SSL_AD_HANDSHAKE_FAILURE;
2111         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_MISSING_RSA_CERTIFICATE);
2112         return 0;
2113     }
2114
2115     /* SSLv3 and pre-standard DTLS omit the length bytes. */
2116     if (s->version == SSL3_VERSION || s->version == DTLS1_BAD_VER) {
2117         enc_premaster = *pkt;
2118     } else {
2119         if (!PACKET_get_length_prefixed_2(pkt, &enc_premaster)
2120             || PACKET_remaining(pkt) != 0) {
2121             *al = SSL_AD_DECODE_ERROR;
2122             SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_LENGTH_MISMATCH);
2123             return 0;
2124         }
2125     }
2126
2127     /*
2128      * We want to be sure that the plaintext buffer size makes it safe to
2129      * iterate over the entire size of a premaster secret
2130      * (SSL_MAX_MASTER_KEY_LENGTH). Reject overly short RSA keys because
2131      * their ciphertext cannot accommodate a premaster secret anyway.
2132      */
2133     if (RSA_size(rsa) < SSL_MAX_MASTER_KEY_LENGTH) {
2134         *al = SSL_AD_INTERNAL_ERROR;
2135         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, RSA_R_KEY_SIZE_TOO_SMALL);
2136         return 0;
2137     }
2138
2139     rsa_decrypt = OPENSSL_malloc(RSA_size(rsa));
2140     if (rsa_decrypt == NULL) {
2141         *al = SSL_AD_INTERNAL_ERROR;
2142         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_MALLOC_FAILURE);
2143         return 0;
2144     }
2145
2146     /*
2147      * We must not leak whether a decryption failure occurs because of
2148      * Bleichenbacher's attack on PKCS #1 v1.5 RSA padding (see RFC 2246,
2149      * section 7.4.7.1). The code follows that advice of the TLS RFC and
2150      * generates a random premaster secret for the case that the decrypt
2151      * fails. See https://tools.ietf.org/html/rfc5246#section-7.4.7.1
2152      */
2153
2154     if (RAND_bytes(rand_premaster_secret,
2155                    sizeof(rand_premaster_secret)) <= 0)
2156         goto err;
2157
2158     /*
2159      * Decrypt with no padding. PKCS#1 padding will be removed as part of
2160      * the timing-sensitive code below.
2161      */
2162     decrypt_len = RSA_private_decrypt(PACKET_remaining(&enc_premaster),
2163                                       PACKET_data(&enc_premaster),
2164                                       rsa_decrypt, rsa, RSA_NO_PADDING);
2165     if (decrypt_len < 0)
2166         goto err;
2167
2168     /* Check the padding. See RFC 3447, section 7.2.2. */
2169
2170     /*
2171      * The smallest padded premaster is 11 bytes of overhead. Small keys
2172      * are publicly invalid, so this may return immediately. This ensures
2173      * PS is at least 8 bytes.
2174      */
2175     if (decrypt_len < 11 + SSL_MAX_MASTER_KEY_LENGTH) {
2176         *al = SSL_AD_DECRYPT_ERROR;
2177         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_DECRYPTION_FAILED);
2178         goto err;
2179     }
2180
2181     padding_len = decrypt_len - SSL_MAX_MASTER_KEY_LENGTH;
2182     decrypt_good = constant_time_eq_int_8(rsa_decrypt[0], 0) &
2183                    constant_time_eq_int_8(rsa_decrypt[1], 2);
2184     for (j = 2; j < padding_len - 1; j++) {
2185         decrypt_good &= ~constant_time_is_zero_8(rsa_decrypt[j]);
2186     }
2187     decrypt_good &= constant_time_is_zero_8(rsa_decrypt[padding_len - 1]);
2188
2189     /*
2190      * If the version in the decrypted pre-master secret is correct then
2191      * version_good will be 0xff, otherwise it'll be zero. The
2192      * Klima-Pokorny-Rosa extension of Bleichenbacher's attack
2193      * (http://eprint.iacr.org/2003/052/) exploits the version number
2194      * check as a "bad version oracle". Thus version checks are done in
2195      * constant time and are treated like any other decryption error.
2196      */
2197     version_good =
2198         constant_time_eq_8(rsa_decrypt[padding_len],
2199                            (unsigned)(s->client_version >> 8));
2200     version_good &=
2201         constant_time_eq_8(rsa_decrypt[padding_len + 1],
2202                            (unsigned)(s->client_version & 0xff));
2203
2204     /*
2205      * The premaster secret must contain the same version number as the
2206      * ClientHello to detect version rollback attacks (strangely, the
2207      * protocol does not offer such protection for DH ciphersuites).
2208      * However, buggy clients exist that send the negotiated protocol
2209      * version instead if the server does not support the requested
2210      * protocol version. If SSL_OP_TLS_ROLLBACK_BUG is set, tolerate such
2211      * clients.
2212      */
2213     if (s->options & SSL_OP_TLS_ROLLBACK_BUG) {
2214         unsigned char workaround_good;
2215         workaround_good = constant_time_eq_8(rsa_decrypt[padding_len],
2216                                              (unsigned)(s->version >> 8));
2217         workaround_good &=
2218             constant_time_eq_8(rsa_decrypt[padding_len + 1],
2219                                (unsigned)(s->version & 0xff));
2220         version_good |= workaround_good;
2221     }
2222
2223     /*
2224      * Both decryption and version must be good for decrypt_good to
2225      * remain non-zero (0xff).
2226      */
2227     decrypt_good &= version_good;
2228
2229     /*
2230      * Now copy rand_premaster_secret over from p using
2231      * decrypt_good_mask. If decryption failed, then p does not
2232      * contain valid plaintext, however, a check above guarantees
2233      * it is still sufficiently large to read from.
2234      */
2235     for (j = 0; j < sizeof(rand_premaster_secret); j++) {
2236         rsa_decrypt[padding_len + j] =
2237             constant_time_select_8(decrypt_good,
2238                                    rsa_decrypt[padding_len + j],
2239                                    rand_premaster_secret[j]);
2240     }
2241
2242     if (!ssl_generate_master_secret(s, rsa_decrypt + padding_len,
2243                                     sizeof(rand_premaster_secret), 0)) {
2244         *al = SSL_AD_INTERNAL_ERROR;
2245         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2246         goto err;
2247     }
2248
2249     ret = 1;
2250  err:
2251     OPENSSL_free(rsa_decrypt);
2252     return ret;
2253 #else
2254     /* Should never happen */
2255     *al = SSL_AD_INTERNAL_ERROR;
2256     SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2257     return 0;
2258 #endif
2259 }
2260
2261 static int tls_process_cke_dhe(SSL *s, PACKET *pkt, int *al)
2262 {
2263 #ifndef OPENSSL_NO_DH
2264     EVP_PKEY *skey = NULL;
2265     DH *cdh;
2266     unsigned int i;
2267     BIGNUM *pub_key;
2268     const unsigned char *data;
2269     EVP_PKEY *ckey = NULL;
2270     int ret = 0;
2271
2272     if (!PACKET_get_net_2(pkt, &i) || PACKET_remaining(pkt) != i) {
2273         *al = SSL_AD_HANDSHAKE_FAILURE;
2274         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE,
2275                SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2276         goto err;
2277     }
2278     skey = s->s3->tmp.pkey;
2279     if (skey == NULL) {
2280         *al = SSL_AD_HANDSHAKE_FAILURE;
2281         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2282         goto err;
2283     }
2284
2285     if (PACKET_remaining(pkt) == 0L) {
2286         *al = SSL_AD_HANDSHAKE_FAILURE;
2287         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2288         goto err;
2289     }
2290     if (!PACKET_get_bytes(pkt, &data, i)) {
2291         /* We already checked we have enough data */
2292         *al = SSL_AD_INTERNAL_ERROR;
2293         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2294         goto err;
2295     }
2296     ckey = EVP_PKEY_new();
2297     if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) == 0) {
2298         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_BN_LIB);
2299         goto err;
2300     }
2301     cdh = EVP_PKEY_get0_DH(ckey);
2302     pub_key = BN_bin2bn(data, i, NULL);
2303
2304     if (pub_key == NULL || !DH_set0_key(cdh, pub_key, NULL)) {
2305         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2306         if (pub_key != NULL)
2307             BN_free(pub_key);
2308         goto err;
2309     }
2310
2311     if (ssl_derive(s, skey, ckey) == 0) {
2312         *al = SSL_AD_INTERNAL_ERROR;
2313         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2314         goto err;
2315     }
2316
2317     ret = 1;
2318     EVP_PKEY_free(s->s3->tmp.pkey);
2319     s->s3->tmp.pkey = NULL;
2320  err:
2321     EVP_PKEY_free(ckey);
2322     return ret;
2323 #else
2324     /* Should never happen */
2325     *al = SSL_AD_INTERNAL_ERROR;
2326     SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2327     return 0;
2328 #endif
2329 }
2330
2331 static int tls_process_cke_ecdhe(SSL *s, PACKET *pkt, int *al)
2332 {
2333 #ifndef OPENSSL_NO_EC
2334     EVP_PKEY *skey = s->s3->tmp.pkey;
2335     EVP_PKEY *ckey = NULL;
2336     int ret = 0;
2337
2338     if (PACKET_remaining(pkt) == 0L) {
2339         /* We don't support ECDH client auth */
2340         *al = SSL_AD_HANDSHAKE_FAILURE;
2341         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_MISSING_TMP_ECDH_KEY);
2342         goto err;
2343     } else {
2344         unsigned int i;
2345         const unsigned char *data;
2346
2347         /*
2348          * Get client's public key from encoded point in the
2349          * ClientKeyExchange message.
2350          */
2351
2352         /* Get encoded point length */
2353         if (!PACKET_get_1(pkt, &i) || !PACKET_get_bytes(pkt, &data, i)
2354             || PACKET_remaining(pkt) != 0) {
2355             *al = SSL_AD_DECODE_ERROR;
2356             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_LENGTH_MISMATCH);
2357             goto err;
2358         }
2359         ckey = EVP_PKEY_new();
2360         if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) <= 0) {
2361             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EVP_LIB);
2362             goto err;
2363         }
2364         if (EC_KEY_oct2key(EVP_PKEY_get0_EC_KEY(ckey), data, i,
2365                            NULL) == 0) {
2366             *al = SSL_AD_HANDSHAKE_FAILURE;
2367             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EC_LIB);
2368             goto err;
2369         }
2370     }
2371
2372     if (ssl_derive(s, skey, ckey) == 0) {
2373         *al = SSL_AD_INTERNAL_ERROR;
2374         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2375         goto err;
2376     }
2377
2378     ret = 1;
2379     EVP_PKEY_free(s->s3->tmp.pkey);
2380     s->s3->tmp.pkey = NULL;
2381  err:
2382     EVP_PKEY_free(ckey);
2383
2384     return ret;
2385 #else
2386     /* Should never happen */
2387     *al = SSL_AD_INTERNAL_ERROR;
2388     SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2389     return 0;
2390 #endif
2391 }
2392
2393 static int tls_process_cke_srp(SSL *s, PACKET *pkt, int *al)
2394 {
2395 #ifndef OPENSSL_NO_SRP
2396     unsigned int i;
2397     const unsigned char *data;
2398
2399     if (!PACKET_get_net_2(pkt, &i)
2400             || !PACKET_get_bytes(pkt, &data, i)) {
2401         *al = SSL_AD_DECODE_ERROR;
2402         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_A_LENGTH);
2403         return 0;
2404     }
2405     if ((s->srp_ctx.A = BN_bin2bn(data, i, NULL)) == NULL) {
2406         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_BN_LIB);
2407         return 0;
2408     }
2409     if (BN_ucmp(s->srp_ctx.A, s->srp_ctx.N) >= 0
2410         || BN_is_zero(s->srp_ctx.A)) {
2411         *al = SSL_AD_ILLEGAL_PARAMETER;
2412         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_PARAMETERS);
2413         return 0;
2414     }
2415     OPENSSL_free(s->session->srp_username);
2416     s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
2417     if (s->session->srp_username == NULL) {
2418         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_MALLOC_FAILURE);
2419         return 0;
2420     }
2421
2422     if (!srp_generate_server_master_secret(s)) {
2423         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2424         return 0;
2425     }
2426
2427     return 1;
2428 #else
2429     /* Should never happen */
2430     *al = SSL_AD_INTERNAL_ERROR;
2431     SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2432     return 0;
2433 #endif
2434 }
2435
2436 static int tls_process_cke_gost(SSL *s, PACKET *pkt, int *al)
2437 {
2438 #ifndef OPENSSL_NO_GOST
2439     EVP_PKEY_CTX *pkey_ctx;
2440     EVP_PKEY *client_pub_pkey = NULL, *pk = NULL;
2441     unsigned char premaster_secret[32];
2442     const unsigned char *start;
2443     size_t outlen = 32, inlen;
2444     unsigned long alg_a;
2445     int Ttag, Tclass;
2446     long Tlen;
2447     long sess_key_len;
2448     const unsigned char *data;
2449     int ret = 0;
2450
2451     /* Get our certificate private key */
2452     alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2453     if (alg_a & SSL_aGOST12) {
2454         /*
2455          * New GOST ciphersuites have SSL_aGOST01 bit too
2456          */
2457         pk = s->cert->pkeys[SSL_PKEY_GOST12_512].privatekey;
2458         if (pk == NULL) {
2459             pk = s->cert->pkeys[SSL_PKEY_GOST12_256].privatekey;
2460         }
2461         if (pk == NULL) {
2462             pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2463         }
2464     } else if (alg_a & SSL_aGOST01) {
2465         pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2466     }
2467
2468     pkey_ctx = EVP_PKEY_CTX_new(pk, NULL);
2469     if (pkey_ctx == NULL) {
2470         *al = SSL_AD_INTERNAL_ERROR;
2471         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_MALLOC_FAILURE);
2472         return 0;
2473     }
2474     if (EVP_PKEY_decrypt_init(pkey_ctx) <= 0) {
2475         *al = SSL_AD_INTERNAL_ERROR;
2476         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2477         return 0;
2478     }
2479     /*
2480      * If client certificate is present and is of the same type, maybe
2481      * use it for key exchange.  Don't mind errors from
2482      * EVP_PKEY_derive_set_peer, because it is completely valid to use a
2483      * client certificate for authorization only.
2484      */
2485     client_pub_pkey = X509_get0_pubkey(s->session->peer);
2486     if (client_pub_pkey) {
2487         if (EVP_PKEY_derive_set_peer(pkey_ctx, client_pub_pkey) <= 0)
2488             ERR_clear_error();
2489     }
2490     /* Decrypt session key */
2491     sess_key_len = PACKET_remaining(pkt);
2492     if (!PACKET_get_bytes(pkt, &data, sess_key_len)) {
2493         *al = SSL_AD_INTERNAL_ERROR;
2494         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2495         goto err;
2496     }
2497     if (ASN1_get_object ((const unsigned char **)&data, &Tlen, &Ttag,
2498                          &Tclass, sess_key_len) != V_ASN1_CONSTRUCTED
2499         || Ttag != V_ASN1_SEQUENCE
2500         || Tclass != V_ASN1_UNIVERSAL) {
2501         *al = SSL_AD_DECODE_ERROR;
2502         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2503         goto err;
2504     }
2505     start = data;
2506     inlen = Tlen;
2507     if (EVP_PKEY_decrypt
2508         (pkey_ctx, premaster_secret, &outlen, start, inlen) <= 0) {
2509         *al = SSL_AD_DECODE_ERROR;
2510         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2511         goto err;
2512     }
2513     /* Generate master secret */
2514     if (!ssl_generate_master_secret(s, premaster_secret,
2515                                     sizeof(premaster_secret), 0)) {
2516         *al = SSL_AD_INTERNAL_ERROR;
2517         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2518         goto err;
2519     }
2520     /* Check if pubkey from client certificate was used */
2521     if (EVP_PKEY_CTX_ctrl
2522         (pkey_ctx, -1, -1, EVP_PKEY_CTRL_PEER_KEY, 2, NULL) > 0)
2523         s->statem.no_cert_verify = 1;
2524
2525     ret = 1;
2526  err:
2527     EVP_PKEY_CTX_free(pkey_ctx);
2528     return ret;
2529 #else
2530     /* Should never happen */
2531     *al = SSL_AD_INTERNAL_ERROR;
2532     SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2533     return 0;
2534 #endif
2535 }
2536
2537 MSG_PROCESS_RETURN tls_process_client_key_exchange(SSL *s, PACKET *pkt)
2538 {
2539     int al = -1;
2540     unsigned long alg_k;
2541
2542     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2543
2544     /* For PSK parse and retrieve identity, obtain PSK key */
2545     if ((alg_k & SSL_PSK) && !tls_process_cke_psk_preamble(s, pkt, &al))
2546         goto err;
2547
2548     if (alg_k & SSL_kPSK) {
2549         /* Identity extracted earlier: should be nothing left */
2550         if (PACKET_remaining(pkt) != 0) {
2551             al = SSL_AD_HANDSHAKE_FAILURE;
2552             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_LENGTH_MISMATCH);
2553             goto err;
2554         }
2555         /* PSK handled by ssl_generate_master_secret */
2556         if (!ssl_generate_master_secret(s, NULL, 0, 0)) {
2557             al = SSL_AD_INTERNAL_ERROR;
2558             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2559             goto err;
2560         }
2561     } else if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
2562         if (!tls_process_cke_rsa(s, pkt, &al))
2563             goto err;
2564     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2565         if (!tls_process_cke_dhe(s, pkt, &al))
2566             goto err;
2567     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2568         if (!tls_process_cke_ecdhe(s, pkt, &al))
2569             goto err;
2570     } else if (alg_k & SSL_kSRP) {
2571         if (!tls_process_cke_srp(s, pkt, &al))
2572             goto err;
2573     } else if (alg_k & SSL_kGOST) {
2574         if (!tls_process_cke_gost(s, pkt, &al))
2575             goto err;
2576     } else {
2577         al = SSL_AD_HANDSHAKE_FAILURE;
2578         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_UNKNOWN_CIPHER_TYPE);
2579         goto err;
2580     }
2581
2582     return MSG_PROCESS_CONTINUE_PROCESSING;
2583  err:
2584     if (al != -1)
2585         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2586 #ifndef OPENSSL_NO_PSK
2587     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
2588     s->s3->tmp.psk = NULL;
2589 #endif
2590     ossl_statem_set_error(s);
2591     return MSG_PROCESS_ERROR;
2592 }
2593
2594 WORK_STATE tls_post_process_client_key_exchange(SSL *s, WORK_STATE wst)
2595 {
2596 #ifndef OPENSSL_NO_SCTP
2597     if (wst == WORK_MORE_A) {
2598         if (SSL_IS_DTLS(s)) {
2599             unsigned char sctpauthkey[64];
2600             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
2601             /*
2602              * Add new shared key for SCTP-Auth, will be ignored if no SCTP
2603              * used.
2604              */
2605             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
2606                    sizeof(DTLS1_SCTP_AUTH_LABEL));
2607
2608             if (SSL_export_keying_material(s, sctpauthkey,
2609                                        sizeof(sctpauthkey), labelbuffer,
2610                                        sizeof(labelbuffer), NULL, 0, 0) <= 0) {
2611                 ossl_statem_set_error(s);
2612                 return WORK_ERROR;;
2613             }
2614
2615             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
2616                      sizeof(sctpauthkey), sctpauthkey);
2617         }
2618         wst = WORK_MORE_B;
2619     }
2620
2621     if ((wst == WORK_MORE_B)
2622             /* Is this SCTP? */
2623             && BIO_dgram_is_sctp(SSL_get_wbio(s))
2624             /* Are we renegotiating? */
2625             && s->renegotiate
2626             /* Are we going to skip the CertificateVerify? */
2627             && (s->session->peer == NULL || s->statem.no_cert_verify)
2628             && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
2629         s->s3->in_read_app_data = 2;
2630         s->rwstate = SSL_READING;
2631         BIO_clear_retry_flags(SSL_get_rbio(s));
2632         BIO_set_retry_read(SSL_get_rbio(s));
2633         ossl_statem_set_sctp_read_sock(s, 1);
2634         return WORK_MORE_B;
2635     } else {
2636         ossl_statem_set_sctp_read_sock(s, 0);
2637     }
2638 #endif
2639
2640     if (s->statem.no_cert_verify || !s->session->peer) {
2641         /* No certificate verify or no peer certificate so we no longer need the
2642          * handshake_buffer
2643          */
2644         if (!ssl3_digest_cached_records(s, 0)) {
2645             ossl_statem_set_error(s);
2646             return WORK_ERROR;
2647         }
2648         return WORK_FINISHED_CONTINUE;
2649     } else {
2650         if (!s->s3->handshake_buffer) {
2651             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_KEY_EXCHANGE,
2652                    ERR_R_INTERNAL_ERROR);
2653             ossl_statem_set_error(s);
2654             return WORK_ERROR;
2655         }
2656         /*
2657          * For sigalgs freeze the handshake buffer. If we support
2658          * extms we've done this already so this is a no-op
2659          */
2660         if (!ssl3_digest_cached_records(s, 1)) {
2661             ossl_statem_set_error(s);
2662             return WORK_ERROR;
2663         }
2664     }
2665
2666     return WORK_FINISHED_CONTINUE;
2667 }
2668
2669 MSG_PROCESS_RETURN tls_process_cert_verify(SSL *s, PACKET *pkt)
2670 {
2671     EVP_PKEY *pkey = NULL;
2672     const unsigned char *sig, *data;
2673 #ifndef OPENSSL_NO_GOST
2674     unsigned char *gost_data = NULL;
2675 #endif
2676     int al, ret = MSG_PROCESS_ERROR;
2677     int type = 0, j;
2678     unsigned int len;
2679     X509 *peer;
2680     const EVP_MD *md = NULL;
2681     long hdatalen = 0;
2682     void *hdata;
2683
2684     EVP_MD_CTX *mctx = EVP_MD_CTX_new();
2685
2686     if (mctx == NULL) {
2687         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2688         al = SSL_AD_INTERNAL_ERROR;
2689         goto f_err;
2690     }
2691
2692     peer = s->session->peer;
2693     pkey = X509_get0_pubkey(peer);
2694     type = X509_certificate_type(peer, pkey);
2695
2696     if (!(type & EVP_PKT_SIGN)) {
2697         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY,
2698                SSL_R_SIGNATURE_FOR_NON_SIGNING_CERTIFICATE);
2699         al = SSL_AD_ILLEGAL_PARAMETER;
2700         goto f_err;
2701     }
2702
2703     /* Check for broken implementations of GOST ciphersuites */
2704     /*
2705      * If key is GOST and n is exactly 64, it is bare signature without
2706      * length field (CryptoPro implementations at least till CSP 4.0)
2707      */
2708 #ifndef OPENSSL_NO_GOST
2709     if (PACKET_remaining(pkt) == 64
2710         && EVP_PKEY_id(pkey) == NID_id_GostR3410_2001) {
2711         len = 64;
2712     } else
2713 #endif
2714     {
2715         if (SSL_USE_SIGALGS(s)) {
2716             int rv;
2717
2718             if (!PACKET_get_bytes(pkt, &sig, 2)) {
2719                 al = SSL_AD_DECODE_ERROR;
2720                 goto f_err;
2721             }
2722             rv = tls12_check_peer_sigalg(&md, s, sig, pkey);
2723             if (rv == -1) {
2724                 al = SSL_AD_INTERNAL_ERROR;
2725                 goto f_err;
2726             } else if (rv == 0) {
2727                 al = SSL_AD_DECODE_ERROR;
2728                 goto f_err;
2729             }
2730 #ifdef SSL_DEBUG
2731             fprintf(stderr, "USING TLSv1.2 HASH %s\n", EVP_MD_name(md));
2732 #endif
2733         } else {
2734             /* Use default digest for this key type */
2735             int idx = ssl_cert_type(NULL, pkey);
2736             if (idx >= 0)
2737                 md = s->s3->tmp.md[idx];
2738             if (md == NULL) {
2739                 al = SSL_AD_INTERNAL_ERROR;
2740                 goto f_err;
2741             }
2742         }
2743
2744         if (!PACKET_get_net_2(pkt, &len)) {
2745             SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2746             al = SSL_AD_DECODE_ERROR;
2747             goto f_err;
2748         }
2749     }
2750     j = EVP_PKEY_size(pkey);
2751     if (((int)len > j) || ((int)PACKET_remaining(pkt) > j)
2752             || (PACKET_remaining(pkt) == 0)) {
2753         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_WRONG_SIGNATURE_SIZE);
2754         al = SSL_AD_DECODE_ERROR;
2755         goto f_err;
2756     }
2757     if (!PACKET_get_bytes(pkt, &data, len)) {
2758         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2759         al = SSL_AD_DECODE_ERROR;
2760         goto f_err;
2761     }
2762
2763     hdatalen = BIO_get_mem_data(s->s3->handshake_buffer, &hdata);
2764     if (hdatalen <= 0) {
2765         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_INTERNAL_ERROR);
2766         al = SSL_AD_INTERNAL_ERROR;
2767         goto f_err;
2768     }
2769 #ifdef SSL_DEBUG
2770     fprintf(stderr, "Using client verify alg %s\n", EVP_MD_name(md));
2771 #endif
2772     if (!EVP_VerifyInit_ex(mctx, md, NULL)
2773         || !EVP_VerifyUpdate(mctx, hdata, hdatalen)) {
2774         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2775         al = SSL_AD_INTERNAL_ERROR;
2776         goto f_err;
2777     }
2778
2779 #ifndef OPENSSL_NO_GOST
2780     {
2781         int pktype = EVP_PKEY_id(pkey);
2782         if (pktype == NID_id_GostR3410_2001
2783             || pktype == NID_id_GostR3410_2012_256
2784             || pktype == NID_id_GostR3410_2012_512) {
2785             if ((gost_data = OPENSSL_malloc(len)) == NULL) {
2786                 SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2787                 al = SSL_AD_INTERNAL_ERROR;
2788                 goto f_err;
2789             }
2790             BUF_reverse(gost_data, data, len);
2791             data = gost_data;
2792         }
2793     }
2794 #endif
2795
2796     if (s->version == SSL3_VERSION
2797         && !EVP_MD_CTX_ctrl(mctx, EVP_CTRL_SSL3_MASTER_SECRET,
2798                             s->session->master_key_length,
2799                             s->session->master_key)) {
2800         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2801         al = SSL_AD_INTERNAL_ERROR;
2802         goto f_err;
2803     }
2804
2805     if (EVP_VerifyFinal(mctx, data, len, pkey) <= 0) {
2806         al = SSL_AD_DECRYPT_ERROR;
2807         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_BAD_SIGNATURE);
2808         goto f_err;
2809     }
2810
2811     ret = MSG_PROCESS_CONTINUE_PROCESSING;
2812     if (0) {
2813  f_err:
2814         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2815         ossl_statem_set_error(s);
2816     }
2817     BIO_free(s->s3->handshake_buffer);
2818     s->s3->handshake_buffer = NULL;
2819     EVP_MD_CTX_free(mctx);
2820 #ifndef OPENSSL_NO_GOST
2821     OPENSSL_free(gost_data);
2822 #endif
2823     return ret;
2824 }
2825
2826 MSG_PROCESS_RETURN tls_process_client_certificate(SSL *s, PACKET *pkt)
2827 {
2828     int i, al = SSL_AD_INTERNAL_ERROR, ret = MSG_PROCESS_ERROR;
2829     X509 *x = NULL;
2830     unsigned long l, llen;
2831     const unsigned char *certstart, *certbytes;
2832     STACK_OF(X509) *sk = NULL;
2833     PACKET spkt;
2834
2835     if ((sk = sk_X509_new_null()) == NULL) {
2836         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
2837         goto f_err;
2838     }
2839
2840     if (!PACKET_get_net_3(pkt, &llen)
2841             || !PACKET_get_sub_packet(pkt, &spkt, llen)
2842             || PACKET_remaining(pkt) != 0) {
2843         al = SSL_AD_DECODE_ERROR;
2844         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_LENGTH_MISMATCH);
2845         goto f_err;
2846     }
2847
2848     while (PACKET_remaining(&spkt) > 0) {
2849         if (!PACKET_get_net_3(&spkt, &l)
2850                 || !PACKET_get_bytes(&spkt, &certbytes, l)) {
2851             al = SSL_AD_DECODE_ERROR;
2852             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2853                    SSL_R_CERT_LENGTH_MISMATCH);
2854             goto f_err;
2855         }
2856
2857         certstart = certbytes;
2858         x = d2i_X509(NULL, (const unsigned char **)&certbytes, l);
2859         if (x == NULL) {
2860             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_ASN1_LIB);
2861             goto f_err;
2862         }
2863         if (certbytes != (certstart + l)) {
2864             al = SSL_AD_DECODE_ERROR;
2865             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2866                    SSL_R_CERT_LENGTH_MISMATCH);
2867             goto f_err;
2868         }
2869         if (!sk_X509_push(sk, x)) {
2870             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
2871             goto f_err;
2872         }
2873         x = NULL;
2874     }
2875
2876     if (sk_X509_num(sk) <= 0) {
2877         /* TLS does not mind 0 certs returned */
2878         if (s->version == SSL3_VERSION) {
2879             al = SSL_AD_HANDSHAKE_FAILURE;
2880             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2881                    SSL_R_NO_CERTIFICATES_RETURNED);
2882             goto f_err;
2883         }
2884         /* Fail for TLS only if we required a certificate */
2885         else if ((s->verify_mode & SSL_VERIFY_PEER) &&
2886                  (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
2887             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2888                    SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
2889             al = SSL_AD_HANDSHAKE_FAILURE;
2890             goto f_err;
2891         }
2892         /* No client certificate so digest cached records */
2893         if (s->s3->handshake_buffer && !ssl3_digest_cached_records(s, 0)) {
2894             goto f_err;
2895         }
2896     } else {
2897         EVP_PKEY *pkey;
2898         i = ssl_verify_cert_chain(s, sk);
2899         if (i <= 0) {
2900             al = ssl_verify_alarm_type(s->verify_result);
2901             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2902                    SSL_R_CERTIFICATE_VERIFY_FAILED);
2903             goto f_err;
2904         }
2905         if (i > 1) {
2906             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, i);
2907             al = SSL_AD_HANDSHAKE_FAILURE;
2908             goto f_err;
2909         }
2910         pkey = X509_get0_pubkey(sk_X509_value(sk, 0));
2911         if (pkey == NULL) {
2912             al = SSL3_AD_HANDSHAKE_FAILURE;
2913             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2914                    SSL_R_UNKNOWN_CERTIFICATE_TYPE);
2915             goto f_err;
2916         }
2917     }
2918
2919     X509_free(s->session->peer);
2920     s->session->peer = sk_X509_shift(sk);
2921     s->session->verify_result = s->verify_result;
2922
2923     sk_X509_pop_free(s->session->peer_chain, X509_free);
2924     s->session->peer_chain = sk;
2925     /*
2926      * Inconsistency alert: cert_chain does *not* include the peer's own
2927      * certificate, while we do include it in statem_clnt.c
2928      */
2929     sk = NULL;
2930     ret = MSG_PROCESS_CONTINUE_READING;
2931     goto done;
2932
2933  f_err:
2934     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2935     ossl_statem_set_error(s);
2936  done:
2937     X509_free(x);
2938     sk_X509_pop_free(sk, X509_free);
2939     return ret;
2940 }
2941
2942 int tls_construct_server_certificate(SSL *s)
2943 {
2944     CERT_PKEY *cpk;
2945
2946     cpk = ssl_get_server_send_pkey(s);
2947     if (cpk == NULL) {
2948         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2949         ossl_statem_set_error(s);
2950         return 0;
2951     }
2952
2953     if (!ssl3_output_cert_chain(s, cpk)) {
2954         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2955         ossl_statem_set_error(s);
2956         return 0;
2957     }
2958
2959     return 1;
2960 }
2961
2962 int tls_construct_new_session_ticket(SSL *s)
2963 {
2964     unsigned char *senc = NULL;
2965     EVP_CIPHER_CTX *ctx;
2966     HMAC_CTX *hctx = NULL;
2967     unsigned char *p, *macstart;
2968     const unsigned char *const_p;
2969     int len, slen_full, slen;
2970     SSL_SESSION *sess;
2971     unsigned int hlen;
2972     SSL_CTX *tctx = s->initial_ctx;
2973     unsigned char iv[EVP_MAX_IV_LENGTH];
2974     unsigned char key_name[TLSEXT_KEYNAME_LENGTH];
2975     int iv_len;
2976
2977     /* get session encoding length */
2978     slen_full = i2d_SSL_SESSION(s->session, NULL);
2979     /*
2980      * Some length values are 16 bits, so forget it if session is too
2981      * long
2982      */
2983     if (slen_full == 0 || slen_full > 0xFF00) {
2984         ossl_statem_set_error(s);
2985         return 0;
2986     }
2987     senc = OPENSSL_malloc(slen_full);
2988     if (senc == NULL) {
2989         ossl_statem_set_error(s);
2990         return 0;
2991     }
2992
2993     ctx = EVP_CIPHER_CTX_new();
2994     hctx = HMAC_CTX_new();
2995
2996     p = senc;
2997     if (!i2d_SSL_SESSION(s->session, &p))
2998         goto err;
2999
3000     /*
3001      * create a fresh copy (not shared with other threads) to clean up
3002      */
3003     const_p = senc;
3004     sess = d2i_SSL_SESSION(NULL, &const_p, slen_full);
3005     if (sess == NULL)
3006         goto err;
3007     sess->session_id_length = 0; /* ID is irrelevant for the ticket */
3008
3009     slen = i2d_SSL_SESSION(sess, NULL);
3010     if (slen == 0 || slen > slen_full) { /* shouldn't ever happen */
3011         SSL_SESSION_free(sess);
3012         goto err;
3013     }
3014     p = senc;
3015     if (!i2d_SSL_SESSION(sess, &p)) {
3016         SSL_SESSION_free(sess);
3017         goto err;
3018     }
3019     SSL_SESSION_free(sess);
3020
3021     /*-
3022      * Grow buffer if need be: the length calculation is as
3023      * follows handshake_header_length +
3024      * 4 (ticket lifetime hint) + 2 (ticket length) +
3025      * sizeof(keyname) + max_iv_len (iv length) +
3026      * max_enc_block_size (max encrypted session * length) +
3027      * max_md_size (HMAC) + session_length.
3028      */
3029     if (!BUF_MEM_grow(s->init_buf,
3030                       SSL_HM_HEADER_LENGTH(s) + 6 + sizeof(key_name) +
3031                       EVP_MAX_IV_LENGTH + EVP_MAX_BLOCK_LENGTH +
3032                       EVP_MAX_MD_SIZE + slen))
3033         goto err;
3034
3035     p = ssl_handshake_start(s);
3036     /*
3037      * Initialize HMAC and cipher contexts. If callback present it does
3038      * all the work otherwise use generated values from parent ctx.
3039      */
3040     if (tctx->tlsext_ticket_key_cb) {
3041         /* if 0 is returned, write an empty ticket */
3042         int ret = tctx->tlsext_ticket_key_cb(s, key_name, iv, ctx,
3043                                              hctx, 1);
3044
3045         if (ret == 0) {
3046             l2n(0, p); /* timeout */
3047             s2n(0, p); /* length */
3048             if (!ssl_set_handshake_header(s, SSL3_MT_NEWSESSION_TICKET, p - ssl_handshake_start(s)))
3049                 goto err;
3050             OPENSSL_free(senc);
3051             EVP_CIPHER_CTX_free(ctx);
3052             HMAC_CTX_free(hctx);
3053             return 1;
3054         }
3055         if (ret < 0)
3056             goto err;
3057         iv_len = EVP_CIPHER_CTX_iv_length(ctx);
3058     } else {
3059         const EVP_CIPHER *cipher = EVP_aes_256_cbc();
3060
3061         iv_len = EVP_CIPHER_iv_length(cipher);
3062         if (RAND_bytes(iv, iv_len) <= 0)
3063             goto err;
3064         if (!EVP_EncryptInit_ex(ctx, cipher, NULL,
3065                                 tctx->tlsext_tick_aes_key, iv))
3066             goto err;
3067         if (!HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3068                           sizeof(tctx->tlsext_tick_hmac_key),
3069                           EVP_sha256(), NULL))
3070             goto err;
3071         memcpy(key_name, tctx->tlsext_tick_key_name,
3072                sizeof(tctx->tlsext_tick_key_name));
3073     }
3074
3075     /*
3076      * Ticket lifetime hint (advisory only): We leave this unspecified
3077      * for resumed session (for simplicity), and guess that tickets for
3078      * new sessions will live as long as their sessions.
3079      */
3080     l2n(s->hit ? 0 : s->session->timeout, p);
3081
3082     /* Skip ticket length for now */
3083     p += 2;
3084     /* Output key name */
3085     macstart = p;
3086     memcpy(p, key_name, sizeof(key_name));
3087     p += sizeof(key_name);
3088     /* output IV */
3089     memcpy(p, iv, iv_len);
3090     p += iv_len;
3091     /* Encrypt session data */
3092     if (!EVP_EncryptUpdate(ctx, p, &len, senc, slen))
3093         goto err;
3094     p += len;
3095     if (!EVP_EncryptFinal(ctx, p, &len))
3096         goto err;
3097     p += len;
3098
3099     if (!HMAC_Update(hctx, macstart, p - macstart))
3100         goto err;
3101     if (!HMAC_Final(hctx, p, &hlen))
3102         goto err;
3103
3104     EVP_CIPHER_CTX_free(ctx);
3105     HMAC_CTX_free(hctx);
3106     ctx = NULL;
3107     hctx = NULL;
3108
3109     p += hlen;
3110     /* Now write out lengths: p points to end of data written */
3111     /* Total length */
3112     len = p - ssl_handshake_start(s);
3113     /* Skip ticket lifetime hint */
3114     p = ssl_handshake_start(s) + 4;
3115     s2n(len - 6, p);
3116     if (!ssl_set_handshake_header(s, SSL3_MT_NEWSESSION_TICKET, len))
3117         goto err;
3118     OPENSSL_free(senc);
3119
3120     return 1;
3121  err:
3122     OPENSSL_free(senc);
3123     EVP_CIPHER_CTX_free(ctx);
3124     HMAC_CTX_free(hctx);
3125     ossl_statem_set_error(s);
3126     return 0;
3127 }
3128
3129 int tls_construct_cert_status(SSL *s)
3130 {
3131     unsigned char *p;
3132     /*-
3133      * Grow buffer if need be: the length calculation is as
3134      * follows 1 (message type) + 3 (message length) +
3135      * 1 (ocsp response type) + 3 (ocsp response length)
3136      * + (ocsp response)
3137      */
3138     if (!BUF_MEM_grow(s->init_buf, 8 + s->tlsext_ocsp_resplen)) {
3139         ossl_statem_set_error(s);
3140         return 0;
3141     }
3142
3143     p = (unsigned char *)s->init_buf->data;
3144
3145     /* do the header */
3146     *(p++) = SSL3_MT_CERTIFICATE_STATUS;
3147     /* message length */
3148     l2n3(s->tlsext_ocsp_resplen + 4, p);
3149     /* status type */
3150     *(p++) = s->tlsext_status_type;
3151     /* length of OCSP response */
3152     l2n3(s->tlsext_ocsp_resplen, p);
3153     /* actual response */
3154     memcpy(p, s->tlsext_ocsp_resp, s->tlsext_ocsp_resplen);
3155     /* number of bytes to write */
3156     s->init_num = 8 + s->tlsext_ocsp_resplen;
3157     s->init_off = 0;
3158
3159     return 1;
3160 }
3161
3162 #ifndef OPENSSL_NO_NEXTPROTONEG
3163 /*
3164  * tls_process_next_proto reads a Next Protocol Negotiation handshake message.
3165  * It sets the next_proto member in s if found
3166  */
3167 MSG_PROCESS_RETURN tls_process_next_proto(SSL *s, PACKET *pkt)
3168 {
3169     PACKET next_proto, padding;
3170     size_t next_proto_len;
3171
3172     /*-
3173      * The payload looks like:
3174      *   uint8 proto_len;
3175      *   uint8 proto[proto_len];
3176      *   uint8 padding_len;
3177      *   uint8 padding[padding_len];
3178      */
3179     if (!PACKET_get_length_prefixed_1(pkt, &next_proto)
3180         || !PACKET_get_length_prefixed_1(pkt, &padding)
3181         || PACKET_remaining(pkt) > 0) {
3182         SSLerr(SSL_F_TLS_PROCESS_NEXT_PROTO, SSL_R_LENGTH_MISMATCH);
3183         goto err;
3184     }
3185
3186     if (!PACKET_memdup(&next_proto, &s->next_proto_negotiated,
3187                        &next_proto_len)) {
3188         s->next_proto_negotiated_len = 0;
3189         goto err;
3190     }
3191
3192     s->next_proto_negotiated_len = (unsigned char)next_proto_len;
3193
3194     return MSG_PROCESS_CONTINUE_READING;
3195 err:
3196     ossl_statem_set_error(s);
3197     return MSG_PROCESS_ERROR;
3198 }
3199 #endif
3200
3201 #define SSLV2_CIPHER_LEN    3
3202
3203 STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
3204                                                PACKET *cipher_suites,
3205                                                STACK_OF(SSL_CIPHER) **skp,
3206                                                int sslv2format, int *al
3207                                                )
3208 {
3209     const SSL_CIPHER *c;
3210     STACK_OF(SSL_CIPHER) *sk;
3211     int n;
3212     /* 3 = SSLV2_CIPHER_LEN > TLS_CIPHER_LEN = 2. */
3213     unsigned char cipher[SSLV2_CIPHER_LEN];
3214
3215     s->s3->send_connection_binding = 0;
3216
3217     n = sslv2format ? SSLV2_CIPHER_LEN : TLS_CIPHER_LEN;
3218
3219     if (PACKET_remaining(cipher_suites) == 0) {
3220         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, SSL_R_NO_CIPHERS_SPECIFIED);
3221         *al = SSL_AD_ILLEGAL_PARAMETER;
3222         return NULL;
3223     }
3224
3225     if (PACKET_remaining(cipher_suites) % n != 0) {
3226         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3227                SSL_R_ERROR_IN_RECEIVED_CIPHER_LIST);
3228         *al = SSL_AD_DECODE_ERROR;
3229         return NULL;
3230     }
3231
3232     if ((skp == NULL) || (*skp == NULL)) {
3233         sk = sk_SSL_CIPHER_new_null(); /* change perhaps later */
3234         if (sk == NULL) {
3235             SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3236             *al = SSL_AD_INTERNAL_ERROR;
3237             return NULL;
3238         }
3239     } else {
3240         sk = *skp;
3241         sk_SSL_CIPHER_zero(sk);
3242     }
3243
3244     if (!PACKET_memdup(cipher_suites, &s->s3->tmp.ciphers_raw,
3245                        &s->s3->tmp.ciphers_rawlen)) {
3246         *al = SSL_AD_INTERNAL_ERROR;
3247         goto err;
3248     }
3249
3250     while (PACKET_copy_bytes(cipher_suites, cipher, n)) {
3251         /*
3252          * SSLv3 ciphers wrapped in an SSLv2-compatible ClientHello have the
3253          * first byte set to zero, while true SSLv2 ciphers have a non-zero
3254          * first byte. We don't support any true SSLv2 ciphers, so skip them.
3255          */
3256         if (sslv2format && cipher[0] != '\0')
3257                 continue;
3258
3259         /* Check for TLS_EMPTY_RENEGOTIATION_INFO_SCSV */
3260         if ((cipher[n - 2] == ((SSL3_CK_SCSV >> 8) & 0xff)) &&
3261             (cipher[n - 1] == (SSL3_CK_SCSV & 0xff))) {
3262             /* SCSV fatal if renegotiating */
3263             if (s->renegotiate) {
3264                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3265                        SSL_R_SCSV_RECEIVED_WHEN_RENEGOTIATING);
3266                 *al = SSL_AD_HANDSHAKE_FAILURE;
3267                 goto err;
3268             }
3269             s->s3->send_connection_binding = 1;
3270             continue;
3271         }
3272
3273         /* Check for TLS_FALLBACK_SCSV */
3274         if ((cipher[n - 2] == ((SSL3_CK_FALLBACK_SCSV >> 8) & 0xff)) &&
3275             (cipher[n - 1] == (SSL3_CK_FALLBACK_SCSV & 0xff))) {
3276             /*
3277              * The SCSV indicates that the client previously tried a higher
3278              * version. Fail if the current version is an unexpected
3279              * downgrade.
3280              */
3281             if (!ssl_check_version_downgrade(s)) {
3282                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3283                        SSL_R_INAPPROPRIATE_FALLBACK);
3284                 *al = SSL_AD_INAPPROPRIATE_FALLBACK;
3285                 goto err;
3286             }
3287             continue;
3288         }
3289
3290         /* For SSLv2-compat, ignore leading 0-byte. */
3291         c = ssl_get_cipher_by_char(s, sslv2format ? &cipher[1] : cipher);
3292         if (c != NULL) {
3293             if (!sk_SSL_CIPHER_push(sk, c)) {
3294                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3295                 *al = SSL_AD_INTERNAL_ERROR;
3296                 goto err;
3297             }
3298         }
3299     }
3300     if (PACKET_remaining(cipher_suites) > 0) {
3301         *al = SSL_AD_INTERNAL_ERROR;
3302         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_INTERNAL_ERROR);
3303         goto err;
3304     }
3305
3306     if (skp != NULL)
3307         *skp = sk;
3308     return (sk);
3309  err:
3310     if ((skp == NULL) || (*skp == NULL))
3311         sk_SSL_CIPHER_free(sk);
3312     return NULL;
3313 }