d662163944a652514894bc7df124b92d2b422516
[openssl.git] / ssl / statem / statem_srvr.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  *
13  * Portions of the attached software ("Contribution") are developed by
14  * SUN MICROSYSTEMS, INC., and are contributed to the OpenSSL project.
15  *
16  * The Contribution is licensed pursuant to the OpenSSL open source
17  * license provided above.
18  *
19  * ECC cipher suite support in OpenSSL originally written by
20  * Vipul Gupta and Sumit Gupta of Sun Microsystems Laboratories.
21  *
22  */
23 /* ====================================================================
24  * Copyright 2005 Nokia. All rights reserved.
25  *
26  * The portions of the attached software ("Contribution") is developed by
27  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
28  * license.
29  *
30  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
31  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
32  * support (see RFC 4279) to OpenSSL.
33  *
34  * No patent licenses or other rights except those expressly stated in
35  * the OpenSSL open source license shall be deemed granted or received
36  * expressly, by implication, estoppel, or otherwise.
37  *
38  * No assurances are provided by Nokia that the Contribution does not
39  * infringe the patent or other intellectual property rights of any third
40  * party or that the license provides you with all the necessary rights
41  * to make use of the Contribution.
42  *
43  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
44  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
45  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
46  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
47  * OTHERWISE.
48  */
49
50
51 #include <stdio.h>
52 #include "../ssl_locl.h"
53 #include "statem_locl.h"
54 #include "internal/constant_time_locl.h"
55 #include <openssl/buffer.h>
56 #include <openssl/rand.h>
57 #include <openssl/objects.h>
58 #include <openssl/evp.h>
59 #include <openssl/hmac.h>
60 #include <openssl/x509.h>
61 #include <openssl/dh.h>
62 #include <openssl/bn.h>
63 #include <openssl/md5.h>
64
65 static STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
66                                                       PACKET *cipher_suites,
67                                                       STACK_OF(SSL_CIPHER) **skp,
68                                                       int sslv2format, int *al);
69
70 /*
71  * server_read_transition() encapsulates the logic for the allowed handshake
72  * state transitions when the server is reading messages from the client. The
73  * message type that the client has sent is provided in |mt|. The current state
74  * is in |s->statem.hand_state|.
75  *
76  *  Valid return values are:
77  *  1: Success (transition allowed)
78  *  0: Error (transition not allowed)
79  */
80 int ossl_statem_server_read_transition(SSL *s, int mt)
81 {
82     OSSL_STATEM *st = &s->statem;
83
84     switch (st->hand_state) {
85     case TLS_ST_BEFORE:
86     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
87         if (mt == SSL3_MT_CLIENT_HELLO) {
88             st->hand_state = TLS_ST_SR_CLNT_HELLO;
89             return 1;
90         }
91         break;
92
93     case TLS_ST_SW_SRVR_DONE:
94         /*
95          * If we get a CKE message after a ServerDone then either
96          * 1) We didn't request a Certificate
97          * OR
98          * 2) If we did request one then
99          *      a) We allow no Certificate to be returned
100          *      AND
101          *      b) We are running SSL3 (in TLS1.0+ the client must return a 0
102          *         list if we requested a certificate)
103          */
104         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
105             if (s->s3->tmp.cert_request) {
106                 if (s->version == SSL3_VERSION) {
107                     if ((s->verify_mode & SSL_VERIFY_PEER)
108                         && (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
109                         /*
110                          * This isn't an unexpected message as such - we're just
111                          * not going to accept it because we require a client
112                          * cert.
113                          */
114                         ssl3_send_alert(s, SSL3_AL_FATAL,
115                                         SSL3_AD_HANDSHAKE_FAILURE);
116                         SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION,
117                                SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
118                         return 0;
119                     }
120                     st->hand_state = TLS_ST_SR_KEY_EXCH;
121                     return 1;
122                 }
123             } else {
124                 st->hand_state = TLS_ST_SR_KEY_EXCH;
125                 return 1;
126             }
127         } else if (s->s3->tmp.cert_request) {
128             if (mt == SSL3_MT_CERTIFICATE) {
129                 st->hand_state = TLS_ST_SR_CERT;
130                 return 1;
131             }
132         }
133         break;
134
135     case TLS_ST_SR_CERT:
136         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
137             st->hand_state = TLS_ST_SR_KEY_EXCH;
138             return 1;
139         }
140         break;
141
142     case TLS_ST_SR_KEY_EXCH:
143         /*
144          * We should only process a CertificateVerify message if we have
145          * received a Certificate from the client. If so then |s->session->peer|
146          * will be non NULL. In some instances a CertificateVerify message is
147          * not required even if the peer has sent a Certificate (e.g. such as in
148          * the case of static DH). In that case |st->no_cert_verify| should be
149          * set.
150          */
151         if (s->session->peer == NULL || st->no_cert_verify) {
152             if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
153                 /*
154                  * For the ECDH ciphersuites when the client sends its ECDH
155                  * pub key in a certificate, the CertificateVerify message is
156                  * not sent. Also for GOST ciphersuites when the client uses
157                  * its key from the certificate for key exchange.
158                  */
159                 st->hand_state = TLS_ST_SR_CHANGE;
160                 return 1;
161             }
162         } else {
163             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
164                 st->hand_state = TLS_ST_SR_CERT_VRFY;
165                 return 1;
166             }
167         }
168         break;
169
170     case TLS_ST_SR_CERT_VRFY:
171         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
172             st->hand_state = TLS_ST_SR_CHANGE;
173             return 1;
174         }
175         break;
176
177     case TLS_ST_SR_CHANGE:
178 #ifndef OPENSSL_NO_NEXTPROTONEG
179         if (s->s3->next_proto_neg_seen) {
180             if (mt == SSL3_MT_NEXT_PROTO) {
181                 st->hand_state = TLS_ST_SR_NEXT_PROTO;
182                 return 1;
183             }
184         } else {
185 #endif
186             if (mt == SSL3_MT_FINISHED) {
187                 st->hand_state = TLS_ST_SR_FINISHED;
188                 return 1;
189             }
190 #ifndef OPENSSL_NO_NEXTPROTONEG
191         }
192 #endif
193         break;
194
195 #ifndef OPENSSL_NO_NEXTPROTONEG
196     case TLS_ST_SR_NEXT_PROTO:
197         if (mt == SSL3_MT_FINISHED) {
198             st->hand_state = TLS_ST_SR_FINISHED;
199             return 1;
200         }
201         break;
202 #endif
203
204     case TLS_ST_SW_FINISHED:
205         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
206             st->hand_state = TLS_ST_SR_CHANGE;
207             return 1;
208         }
209         break;
210
211     default:
212         break;
213     }
214
215     /* No valid transition found */
216     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
217     SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION, SSL_R_UNEXPECTED_MESSAGE);
218     return 0;
219 }
220
221 /*
222  * Should we send a ServerKeyExchange message?
223  *
224  * Valid return values are:
225  *   1: Yes
226  *   0: No
227  */
228 static int send_server_key_exchange(SSL *s)
229 {
230     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
231
232     /*
233      * only send a ServerKeyExchange if DH or fortezza but we have a
234      * sign only certificate PSK: may send PSK identity hints For
235      * ECC ciphersuites, we send a serverKeyExchange message only if
236      * the cipher suite is either ECDH-anon or ECDHE. In other cases,
237      * the server certificate contains the server's public key for
238      * key exchange.
239      */
240     if (alg_k & (SSL_kDHE|SSL_kECDHE)
241         /*
242          * PSK: send ServerKeyExchange if PSK identity hint if
243          * provided
244          */
245 #ifndef OPENSSL_NO_PSK
246         /* Only send SKE if we have identity hint for plain PSK */
247         || ((alg_k & (SSL_kPSK | SSL_kRSAPSK))
248             && s->cert->psk_identity_hint)
249         /* For other PSK always send SKE */
250         || (alg_k & (SSL_PSK & (SSL_kDHEPSK | SSL_kECDHEPSK)))
251 #endif
252 #ifndef OPENSSL_NO_SRP
253         /* SRP: send ServerKeyExchange */
254         || (alg_k & SSL_kSRP)
255 #endif
256        ) {
257         return 1;
258     }
259
260     return 0;
261 }
262
263 /*
264  * Should we send a CertificateRequest message?
265  *
266  * Valid return values are:
267  *   1: Yes
268  *   0: No
269  */
270 static int send_certificate_request(SSL *s)
271 {
272     if (
273            /* don't request cert unless asked for it: */
274            s->verify_mode & SSL_VERIFY_PEER
275            /*
276             * if SSL_VERIFY_CLIENT_ONCE is set, don't request cert
277             * during re-negotiation:
278             */
279            && ((s->session->peer == NULL) ||
280                !(s->verify_mode & SSL_VERIFY_CLIENT_ONCE))
281            /*
282             * never request cert in anonymous ciphersuites (see
283             * section "Certificate request" in SSL 3 drafts and in
284             * RFC 2246):
285             */
286            && (!(s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL)
287            /*
288             * ... except when the application insists on
289             * verification (against the specs, but statem_clnt.c accepts
290             * this for SSL 3)
291             */
292                || (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT))
293            /* don't request certificate for SRP auth */
294            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aSRP)
295            /*
296             * With normal PSK Certificates and Certificate Requests
297             * are omitted
298             */
299            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aPSK)) {
300         return 1;
301     }
302
303     return 0;
304 }
305
306 /*
307  * server_write_transition() works out what handshake state to move to next
308  * when the server is writing messages to be sent to the client.
309  */
310 WRITE_TRAN ossl_statem_server_write_transition(SSL *s)
311 {
312     OSSL_STATEM *st = &s->statem;
313
314     switch (st->hand_state) {
315     case TLS_ST_BEFORE:
316         /* Just go straight to trying to read from the client */;
317         return WRITE_TRAN_FINISHED;
318
319     case TLS_ST_OK:
320         /* We must be trying to renegotiate */
321         st->hand_state = TLS_ST_SW_HELLO_REQ;
322         return WRITE_TRAN_CONTINUE;
323
324     case TLS_ST_SW_HELLO_REQ:
325         st->hand_state = TLS_ST_OK;
326         ossl_statem_set_in_init(s, 0);
327         return WRITE_TRAN_CONTINUE;
328
329     case TLS_ST_SR_CLNT_HELLO:
330         if (SSL_IS_DTLS(s) && !s->d1->cookie_verified
331                 && (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE))
332             st->hand_state = DTLS_ST_SW_HELLO_VERIFY_REQUEST;
333         else
334             st->hand_state = TLS_ST_SW_SRVR_HELLO;
335         return WRITE_TRAN_CONTINUE;
336
337     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
338         return WRITE_TRAN_FINISHED;
339
340     case TLS_ST_SW_SRVR_HELLO:
341         if (s->hit) {
342             if (s->tlsext_ticket_expected)
343                 st->hand_state = TLS_ST_SW_SESSION_TICKET;
344             else
345                 st->hand_state = TLS_ST_SW_CHANGE;
346         } else {
347             /* Check if it is anon DH or anon ECDH, */
348             /* normal PSK or SRP */
349             if (!(s->s3->tmp.new_cipher->algorithm_auth &
350                  (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
351                 st->hand_state = TLS_ST_SW_CERT;
352             } else if (send_server_key_exchange(s)) {
353                 st->hand_state = TLS_ST_SW_KEY_EXCH;
354             } else if (send_certificate_request(s)) {
355                 st->hand_state = TLS_ST_SW_CERT_REQ;
356             } else {
357                 st->hand_state = TLS_ST_SW_SRVR_DONE;
358             }
359         }
360         return WRITE_TRAN_CONTINUE;
361
362     case TLS_ST_SW_CERT:
363         if (s->tlsext_status_expected) {
364             st->hand_state = TLS_ST_SW_CERT_STATUS;
365             return WRITE_TRAN_CONTINUE;
366         }
367         /* Fall through */
368
369     case TLS_ST_SW_CERT_STATUS:
370         if (send_server_key_exchange(s)) {
371             st->hand_state = TLS_ST_SW_KEY_EXCH;
372             return WRITE_TRAN_CONTINUE;
373         }
374         /* Fall through */
375
376     case TLS_ST_SW_KEY_EXCH:
377         if (send_certificate_request(s)) {
378             st->hand_state = TLS_ST_SW_CERT_REQ;
379             return WRITE_TRAN_CONTINUE;
380         }
381         /* Fall through */
382
383     case TLS_ST_SW_CERT_REQ:
384         st->hand_state = TLS_ST_SW_SRVR_DONE;
385         return WRITE_TRAN_CONTINUE;
386
387     case TLS_ST_SW_SRVR_DONE:
388         return WRITE_TRAN_FINISHED;
389
390     case TLS_ST_SR_FINISHED:
391         if (s->hit) {
392             st->hand_state = TLS_ST_OK;
393             ossl_statem_set_in_init(s, 0);
394             return WRITE_TRAN_CONTINUE;
395         } else if (s->tlsext_ticket_expected) {
396             st->hand_state = TLS_ST_SW_SESSION_TICKET;
397         } else {
398             st->hand_state = TLS_ST_SW_CHANGE;
399         }
400         return WRITE_TRAN_CONTINUE;
401
402     case TLS_ST_SW_SESSION_TICKET:
403         st->hand_state = TLS_ST_SW_CHANGE;
404         return WRITE_TRAN_CONTINUE;
405
406     case TLS_ST_SW_CHANGE:
407         st->hand_state = TLS_ST_SW_FINISHED;
408         return WRITE_TRAN_CONTINUE;
409
410     case TLS_ST_SW_FINISHED:
411         if (s->hit) {
412             return WRITE_TRAN_FINISHED;
413         }
414         st->hand_state = TLS_ST_OK;
415         ossl_statem_set_in_init(s, 0);
416         return WRITE_TRAN_CONTINUE;
417
418     default:
419         /* Shouldn't happen */
420         return WRITE_TRAN_ERROR;
421     }
422 }
423
424 /*
425  * Perform any pre work that needs to be done prior to sending a message from
426  * the server to the client.
427  */
428 WORK_STATE ossl_statem_server_pre_work(SSL *s, WORK_STATE wst)
429 {
430     OSSL_STATEM *st = &s->statem;
431
432     switch (st->hand_state) {
433     case TLS_ST_SW_HELLO_REQ:
434         s->shutdown = 0;
435         if (SSL_IS_DTLS(s))
436             dtls1_clear_record_buffer(s);
437         break;
438
439     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
440         s->shutdown = 0;
441         if (SSL_IS_DTLS(s)) {
442             dtls1_clear_record_buffer(s);
443             /* We don't buffer this message so don't use the timer */
444             st->use_timer = 0;
445         }
446         break;
447
448     case TLS_ST_SW_SRVR_HELLO:
449         if (SSL_IS_DTLS(s)) {
450             /*
451              * Messages we write from now on should be bufferred and
452              * retransmitted if necessary, so we need to use the timer now
453              */
454             st->use_timer = 1;
455         }
456         break;
457
458     case TLS_ST_SW_SRVR_DONE:
459 #ifndef OPENSSL_NO_SCTP
460         if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s)))
461             return dtls_wait_for_dry(s);
462 #endif
463         return WORK_FINISHED_CONTINUE;
464
465     case TLS_ST_SW_SESSION_TICKET:
466         if (SSL_IS_DTLS(s)) {
467             /*
468              * We're into the last flight. We don't retransmit the last flight
469              * unless we need to, so we don't use the timer
470              */
471             st->use_timer = 0;
472         }
473         break;
474
475     case TLS_ST_SW_CHANGE:
476         s->session->cipher = s->s3->tmp.new_cipher;
477         if (!s->method->ssl3_enc->setup_key_block(s)) {
478             ossl_statem_set_error(s);
479             return WORK_ERROR;
480         }
481         if (SSL_IS_DTLS(s)) {
482             /*
483              * We're into the last flight. We don't retransmit the last flight
484              * unless we need to, so we don't use the timer. This might have
485              * already been set to 0 if we sent a NewSessionTicket message,
486              * but we'll set it again here in case we didn't.
487              */
488             st->use_timer = 0;
489         }
490         return WORK_FINISHED_CONTINUE;
491
492     case TLS_ST_OK:
493         return tls_finish_handshake(s, wst);
494
495     default:
496         /* No pre work to be done */
497         break;
498     }
499
500     return WORK_FINISHED_CONTINUE;
501 }
502
503 /*
504  * Perform any work that needs to be done after sending a message from the
505  * server to the client.
506  */
507 WORK_STATE ossl_statem_server_post_work(SSL *s, WORK_STATE wst)
508 {
509     OSSL_STATEM *st = &s->statem;
510
511     s->init_num = 0;
512
513     switch (st->hand_state) {
514     case TLS_ST_SW_HELLO_REQ:
515         if (statem_flush(s) != 1)
516             return WORK_MORE_A;
517         if (!ssl3_init_finished_mac(s)) {
518             ossl_statem_set_error(s);
519             return WORK_ERROR;
520         }
521         break;
522
523     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
524         if (statem_flush(s) != 1)
525             return WORK_MORE_A;
526         /* HelloVerifyRequest resets Finished MAC */
527         if (s->version != DTLS1_BAD_VER && !ssl3_init_finished_mac(s)) {
528             ossl_statem_set_error(s);
529             return WORK_ERROR;
530         }
531         /*
532          * The next message should be another ClientHello which we need to
533          * treat like it was the first packet
534          */
535         s->first_packet = 1;
536         break;
537
538     case TLS_ST_SW_SRVR_HELLO:
539 #ifndef OPENSSL_NO_SCTP
540         if (SSL_IS_DTLS(s) && s->hit) {
541             unsigned char sctpauthkey[64];
542             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
543
544             /*
545              * Add new shared key for SCTP-Auth, will be ignored if no
546              * SCTP used.
547              */
548             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
549                    sizeof(DTLS1_SCTP_AUTH_LABEL));
550
551             if (SSL_export_keying_material(s, sctpauthkey,
552                     sizeof(sctpauthkey), labelbuffer,
553                     sizeof(labelbuffer), NULL, 0, 0) <= 0) {
554                 ossl_statem_set_error(s);
555                 return WORK_ERROR;
556             }
557
558             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
559                      sizeof(sctpauthkey), sctpauthkey);
560         }
561 #endif
562         break;
563
564     case TLS_ST_SW_CHANGE:
565 #ifndef OPENSSL_NO_SCTP
566         if (SSL_IS_DTLS(s) && !s->hit) {
567             /*
568              * Change to new shared key of SCTP-Auth, will be ignored if
569              * no SCTP used.
570              */
571             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
572                      0, NULL);
573         }
574 #endif
575         if (!s->method->ssl3_enc->change_cipher_state(s,
576                 SSL3_CHANGE_CIPHER_SERVER_WRITE)) {
577             ossl_statem_set_error(s);
578             return WORK_ERROR;
579         }
580
581         if (SSL_IS_DTLS(s))
582             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
583         break;
584
585     case TLS_ST_SW_SRVR_DONE:
586         if (statem_flush(s) != 1)
587             return WORK_MORE_A;
588         break;
589
590     case TLS_ST_SW_FINISHED:
591         if (statem_flush(s) != 1)
592             return WORK_MORE_A;
593 #ifndef OPENSSL_NO_SCTP
594         if (SSL_IS_DTLS(s) && s->hit) {
595             /*
596              * Change to new shared key of SCTP-Auth, will be ignored if
597              * no SCTP used.
598              */
599             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
600                      0, NULL);
601         }
602 #endif
603         break;
604
605     default:
606         /* No post work to be done */
607         break;
608     }
609
610     return WORK_FINISHED_CONTINUE;
611 }
612
613 /*
614  * Construct a message to be sent from the server to the client.
615  *
616  * Valid return values are:
617  *   1: Success
618  *   0: Error
619  */
620 int ossl_statem_server_construct_message(SSL *s)
621 {
622     OSSL_STATEM *st = &s->statem;
623
624     switch (st->hand_state) {
625     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
626         return dtls_construct_hello_verify_request(s);
627
628     case TLS_ST_SW_HELLO_REQ:
629         return tls_construct_hello_request(s);
630
631     case TLS_ST_SW_SRVR_HELLO:
632         return tls_construct_server_hello(s);
633
634     case TLS_ST_SW_CERT:
635         return tls_construct_server_certificate(s);
636
637     case TLS_ST_SW_KEY_EXCH:
638         return tls_construct_server_key_exchange(s);
639
640     case TLS_ST_SW_CERT_REQ:
641         return tls_construct_certificate_request(s);
642
643     case TLS_ST_SW_SRVR_DONE:
644         return tls_construct_server_done(s);
645
646     case TLS_ST_SW_SESSION_TICKET:
647         return tls_construct_new_session_ticket(s);
648
649     case TLS_ST_SW_CERT_STATUS:
650         return tls_construct_cert_status(s);
651
652     case TLS_ST_SW_CHANGE:
653         if (SSL_IS_DTLS(s))
654             return dtls_construct_change_cipher_spec(s);
655         else
656             return tls_construct_change_cipher_spec(s);
657
658     case TLS_ST_SW_FINISHED:
659         return tls_construct_finished(s,
660                                       s->method->
661                                       ssl3_enc->server_finished_label,
662                                       s->method->
663                                       ssl3_enc->server_finished_label_len);
664
665     default:
666         /* Shouldn't happen */
667         break;
668     }
669
670     return 0;
671 }
672
673 /*
674  * Maximum size (excluding the Handshake header) of a ClientHello message,
675  * calculated as follows:
676  *
677  *  2 + # client_version
678  *  32 + # only valid length for random
679  *  1 + # length of session_id
680  *  32 + # maximum size for session_id
681  *  2 + # length of cipher suites
682  *  2^16-2 + # maximum length of cipher suites array
683  *  1 + # length of compression_methods
684  *  2^8-1 + # maximum length of compression methods
685  *  2 + # length of extensions
686  *  2^16-1 # maximum length of extensions
687  */
688 #define CLIENT_HELLO_MAX_LENGTH         131396
689
690 #define CLIENT_KEY_EXCH_MAX_LENGTH      2048
691 #define NEXT_PROTO_MAX_LENGTH           514
692
693 /*
694  * Returns the maximum allowed length for the current message that we are
695  * reading. Excludes the message header.
696  */
697 unsigned long ossl_statem_server_max_message_size(SSL *s)
698 {
699     OSSL_STATEM *st = &s->statem;
700
701     switch (st->hand_state) {
702     case TLS_ST_SR_CLNT_HELLO:
703         return CLIENT_HELLO_MAX_LENGTH;
704
705     case TLS_ST_SR_CERT:
706         return s->max_cert_list;
707
708     case TLS_ST_SR_KEY_EXCH:
709         return CLIENT_KEY_EXCH_MAX_LENGTH;
710
711     case TLS_ST_SR_CERT_VRFY:
712         return SSL3_RT_MAX_PLAIN_LENGTH;
713
714 #ifndef OPENSSL_NO_NEXTPROTONEG
715     case TLS_ST_SR_NEXT_PROTO:
716         return NEXT_PROTO_MAX_LENGTH;
717 #endif
718
719     case TLS_ST_SR_CHANGE:
720         return CCS_MAX_LENGTH;
721
722     case TLS_ST_SR_FINISHED:
723         return FINISHED_MAX_LENGTH;
724
725     default:
726         /* Shouldn't happen */
727         break;
728     }
729
730     return 0;
731 }
732
733 /*
734  * Process a message that the server has received from the client.
735  */
736 MSG_PROCESS_RETURN ossl_statem_server_process_message(SSL *s, PACKET *pkt)
737 {
738     OSSL_STATEM *st = &s->statem;
739
740     switch (st->hand_state) {
741     case TLS_ST_SR_CLNT_HELLO:
742         return tls_process_client_hello(s, pkt);
743
744     case TLS_ST_SR_CERT:
745         return tls_process_client_certificate(s, pkt);
746
747     case TLS_ST_SR_KEY_EXCH:
748         return tls_process_client_key_exchange(s, pkt);
749
750     case TLS_ST_SR_CERT_VRFY:
751         return tls_process_cert_verify(s, pkt);
752
753 #ifndef OPENSSL_NO_NEXTPROTONEG
754     case TLS_ST_SR_NEXT_PROTO:
755         return tls_process_next_proto(s, pkt);
756 #endif
757
758     case TLS_ST_SR_CHANGE:
759         return tls_process_change_cipher_spec(s, pkt);
760
761     case TLS_ST_SR_FINISHED:
762         return tls_process_finished(s, pkt);
763
764     default:
765         /* Shouldn't happen */
766         break;
767     }
768
769     return MSG_PROCESS_ERROR;
770 }
771
772 /*
773  * Perform any further processing required following the receipt of a message
774  * from the client
775  */
776 WORK_STATE ossl_statem_server_post_process_message(SSL *s, WORK_STATE wst)
777 {
778     OSSL_STATEM *st = &s->statem;
779
780     switch (st->hand_state) {
781     case TLS_ST_SR_CLNT_HELLO:
782         return tls_post_process_client_hello(s, wst);
783
784     case TLS_ST_SR_KEY_EXCH:
785         return tls_post_process_client_key_exchange(s, wst);
786
787     case TLS_ST_SR_CERT_VRFY:
788 #ifndef OPENSSL_NO_SCTP
789         if (    /* Is this SCTP? */
790                 BIO_dgram_is_sctp(SSL_get_wbio(s))
791                 /* Are we renegotiating? */
792                 && s->renegotiate
793                 && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
794             s->s3->in_read_app_data = 2;
795             s->rwstate = SSL_READING;
796             BIO_clear_retry_flags(SSL_get_rbio(s));
797             BIO_set_retry_read(SSL_get_rbio(s));
798             ossl_statem_set_sctp_read_sock(s, 1);
799             return WORK_MORE_A;
800         } else {
801             ossl_statem_set_sctp_read_sock(s, 0);
802         }
803 #endif
804         return WORK_FINISHED_CONTINUE;
805
806     default:
807         break;
808     }
809
810     /* Shouldn't happen */
811     return WORK_ERROR;
812 }
813
814 #ifndef OPENSSL_NO_SRP
815 static int ssl_check_srp_ext_ClientHello(SSL *s, int *al)
816 {
817     int ret = SSL_ERROR_NONE;
818
819     *al = SSL_AD_UNRECOGNIZED_NAME;
820
821     if ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) &&
822         (s->srp_ctx.TLS_ext_srp_username_callback != NULL)) {
823         if (s->srp_ctx.login == NULL) {
824             /*
825              * RFC 5054 says SHOULD reject, we do so if There is no srp
826              * login name
827              */
828             ret = SSL3_AL_FATAL;
829             *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
830         } else {
831             ret = SSL_srp_server_param_with_username(s, al);
832         }
833     }
834     return ret;
835 }
836 #endif
837
838 int tls_construct_hello_request(SSL *s)
839 {
840     if (!ssl_set_handshake_header(s, SSL3_MT_HELLO_REQUEST, 0)) {
841         SSLerr(SSL_F_TLS_CONSTRUCT_HELLO_REQUEST, ERR_R_INTERNAL_ERROR);
842         ossl_statem_set_error(s);
843         return 0;
844     }
845
846     return 1;
847 }
848
849 unsigned int dtls_raw_hello_verify_request(unsigned char *buf,
850                                             unsigned char *cookie,
851                                             unsigned char cookie_len)
852 {
853     unsigned int msg_len;
854     unsigned char *p;
855
856     p = buf;
857     /* Always use DTLS 1.0 version: see RFC 6347 */
858     *(p++) = DTLS1_VERSION >> 8;
859     *(p++) = DTLS1_VERSION & 0xFF;
860
861     *(p++) = (unsigned char)cookie_len;
862     memcpy(p, cookie, cookie_len);
863     p += cookie_len;
864     msg_len = p - buf;
865
866     return msg_len;
867 }
868
869 int dtls_construct_hello_verify_request(SSL *s)
870 {
871     unsigned int len;
872     unsigned char *buf;
873
874     buf = (unsigned char *)s->init_buf->data;
875
876     if (s->ctx->app_gen_cookie_cb == NULL ||
877         s->ctx->app_gen_cookie_cb(s, s->d1->cookie,
878                                   &(s->d1->cookie_len)) == 0 ||
879         s->d1->cookie_len > 255) {
880         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST,
881                SSL_R_COOKIE_GEN_CALLBACK_FAILURE);
882         ossl_statem_set_error(s);
883         return 0;
884     }
885
886     len = dtls_raw_hello_verify_request(&buf[DTLS1_HM_HEADER_LENGTH],
887                                          s->d1->cookie, s->d1->cookie_len);
888
889     dtls1_set_message_header(s, DTLS1_MT_HELLO_VERIFY_REQUEST, len, 0,
890                              len);
891     len += DTLS1_HM_HEADER_LENGTH;
892
893     /* number of bytes to write */
894     s->init_num = len;
895     s->init_off = 0;
896
897     return 1;
898 }
899
900 MSG_PROCESS_RETURN tls_process_client_hello(SSL *s, PACKET *pkt)
901 {
902     int i, al = SSL_AD_INTERNAL_ERROR;
903     unsigned int j, complen = 0;
904     unsigned long id;
905     const SSL_CIPHER *c;
906 #ifndef OPENSSL_NO_COMP
907     SSL_COMP *comp = NULL;
908 #endif
909     STACK_OF(SSL_CIPHER) *ciphers = NULL;
910     int protverr;
911     /* |cookie| will only be initialized for DTLS. */
912     PACKET session_id, cipher_suites, compression, extensions, cookie;
913     int is_v2_record;
914     static const unsigned char null_compression = 0;
915
916     is_v2_record = RECORD_LAYER_is_sslv2_record(&s->rlayer);
917
918     PACKET_null_init(&cookie);
919     /* First lets get s->client_version set correctly */
920     if (is_v2_record) {
921         unsigned int version;
922         unsigned int mt;
923         /*-
924          * An SSLv3/TLSv1 backwards-compatible CLIENT-HELLO in an SSLv2
925          * header is sent directly on the wire, not wrapped as a TLS
926          * record. Our record layer just processes the message length and passes
927          * the rest right through. Its format is:
928          * Byte  Content
929          * 0-1   msg_length - decoded by the record layer
930          * 2     msg_type - s->init_msg points here
931          * 3-4   version
932          * 5-6   cipher_spec_length
933          * 7-8   session_id_length
934          * 9-10  challenge_length
935          * ...   ...
936          */
937
938         if (!PACKET_get_1(pkt, &mt)
939                 || mt != SSL2_MT_CLIENT_HELLO) {
940             /*
941              * Should never happen. We should have tested this in the record
942              * layer in order to have determined that this is a SSLv2 record
943              * in the first place
944              */
945             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
946             goto err;
947         }
948
949         if (!PACKET_get_net_2(pkt, &version)) {
950             /* No protocol version supplied! */
951             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
952             goto err;
953         }
954         if (version == 0x0002) {
955             /* This is real SSLv2. We don't support it. */
956             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
957             goto err;
958         } else if ((version & 0xff00) == (SSL3_VERSION_MAJOR << 8)) {
959             /* SSLv3/TLS */
960             s->client_version = version;
961         } else {
962             /* No idea what protocol this is */
963             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
964             goto err;
965         }
966     } else {
967         /*
968          * use version from inside client hello, not from record header (may
969          * differ: see RFC 2246, Appendix E, second paragraph)
970          */
971         if (!PACKET_get_net_2(pkt, (unsigned int *)&s->client_version)) {
972             al = SSL_AD_DECODE_ERROR;
973             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_TOO_SHORT);
974             goto f_err;
975         }
976     }
977
978     /*
979      * Do SSL/TLS version negotiation if applicable. For DTLS we just check
980      * versions are potentially compatible. Version negotiation comes later.
981      */
982     if (!SSL_IS_DTLS(s)) {
983         protverr = ssl_choose_server_version(s);
984     } else if (s->method->version != DTLS_ANY_VERSION &&
985                DTLS_VERSION_LT(s->client_version, s->version)) {
986         protverr = SSL_R_VERSION_TOO_LOW;
987     } else {
988         protverr = 0;
989     }
990
991     if (protverr) {
992         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
993         if ((!s->enc_write_ctx && !s->write_hash)) {
994             /*
995              * similar to ssl3_get_record, send alert using remote version
996              * number
997              */
998             s->version = s->client_version;
999         }
1000         al = SSL_AD_PROTOCOL_VERSION;
1001         goto f_err;
1002     }
1003
1004     /* Parse the message and load client random. */
1005     if (is_v2_record) {
1006         /*
1007          * Handle an SSLv2 backwards compatible ClientHello
1008          * Note, this is only for SSLv3+ using the backward compatible format.
1009          * Real SSLv2 is not supported, and is rejected above.
1010          */
1011         unsigned int cipher_len, session_id_len, challenge_len;
1012         PACKET challenge;
1013
1014         if (!PACKET_get_net_2(pkt, &cipher_len)
1015                 || !PACKET_get_net_2(pkt, &session_id_len)
1016                 || !PACKET_get_net_2(pkt, &challenge_len)) {
1017             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1018                    SSL_R_RECORD_LENGTH_MISMATCH);
1019             al = SSL_AD_DECODE_ERROR;
1020             goto f_err;
1021         }
1022
1023         if (session_id_len > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1024             al = SSL_AD_DECODE_ERROR;
1025             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1026             goto f_err;
1027         }
1028
1029         if (!PACKET_get_sub_packet(pkt, &cipher_suites, cipher_len)
1030             || !PACKET_get_sub_packet(pkt, &session_id, session_id_len)
1031             || !PACKET_get_sub_packet(pkt, &challenge, challenge_len)
1032             /* No extensions. */
1033             || PACKET_remaining(pkt) != 0) {
1034             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1035                    SSL_R_RECORD_LENGTH_MISMATCH);
1036             al = SSL_AD_DECODE_ERROR;
1037             goto f_err;
1038         }
1039
1040         /* Load the client random and compression list. */
1041         challenge_len = challenge_len > SSL3_RANDOM_SIZE ? SSL3_RANDOM_SIZE :
1042             challenge_len;
1043         memset(s->s3->client_random, 0, SSL3_RANDOM_SIZE);
1044         if (!PACKET_copy_bytes(&challenge,
1045                                s->s3->client_random + SSL3_RANDOM_SIZE -
1046                                challenge_len, challenge_len)
1047             /* Advertise only null compression. */
1048             || !PACKET_buf_init(&compression, &null_compression, 1)) {
1049             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1050             al = SSL_AD_INTERNAL_ERROR;
1051             goto f_err;
1052         }
1053
1054         PACKET_null_init(&extensions);
1055     } else {
1056         /* Regular ClientHello. */
1057         if (!PACKET_copy_bytes(pkt, s->s3->client_random, SSL3_RANDOM_SIZE)
1058             || !PACKET_get_length_prefixed_1(pkt, &session_id)) {
1059             al = SSL_AD_DECODE_ERROR;
1060             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1061             goto f_err;
1062         }
1063
1064         if (PACKET_remaining(&session_id) > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1065             al = SSL_AD_DECODE_ERROR;
1066             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1067             goto f_err;
1068         }
1069
1070         if (SSL_IS_DTLS(s)) {
1071             if (!PACKET_get_length_prefixed_1(pkt, &cookie)) {
1072                 al = SSL_AD_DECODE_ERROR;
1073                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1074                 goto f_err;
1075             }
1076             /*
1077              * If we require cookies and this ClientHello doesn't contain one,
1078              * just return since we do not want to allocate any memory yet.
1079              * So check cookie length...
1080              */
1081             if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1082                 if (PACKET_remaining(&cookie) == 0)
1083                 return 1;
1084             }
1085         }
1086
1087         if (!PACKET_get_length_prefixed_2(pkt, &cipher_suites)
1088             || !PACKET_get_length_prefixed_1(pkt, &compression)) {
1089                 al = SSL_AD_DECODE_ERROR;
1090                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1091                 goto f_err;
1092         }
1093         /* Could be empty. */
1094         extensions = *pkt;
1095     }
1096
1097     if (SSL_IS_DTLS(s)) {
1098         /* Empty cookie was already handled above by returning early. */
1099         if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1100             if (s->ctx->app_verify_cookie_cb != NULL) {
1101                 if (s->ctx->app_verify_cookie_cb(s, PACKET_data(&cookie),
1102                                                  PACKET_remaining(&cookie)) == 0) {
1103                     al = SSL_AD_HANDSHAKE_FAILURE;
1104                     SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1105                            SSL_R_COOKIE_MISMATCH);
1106                     goto f_err;
1107                     /* else cookie verification succeeded */
1108                 }
1109             /* default verification */
1110             } else if (!PACKET_equal(&cookie, s->d1->cookie,
1111                                      s->d1->cookie_len)) {
1112                 al = SSL_AD_HANDSHAKE_FAILURE;
1113                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_COOKIE_MISMATCH);
1114                 goto f_err;
1115             }
1116             s->d1->cookie_verified = 1;
1117         }
1118         if (s->method->version == DTLS_ANY_VERSION) {
1119             protverr = ssl_choose_server_version(s);
1120             if (protverr != 0) {
1121                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1122                 s->version = s->client_version;
1123                 al = SSL_AD_PROTOCOL_VERSION;
1124                 goto f_err;
1125             }
1126         }
1127     }
1128
1129     s->hit = 0;
1130
1131     /*
1132      * We don't allow resumption in a backwards compatible ClientHello.
1133      * TODO(openssl-team): in TLS1.1+, session_id MUST be empty.
1134      *
1135      * Versions before 0.9.7 always allow clients to resume sessions in
1136      * renegotiation. 0.9.7 and later allow this by default, but optionally
1137      * ignore resumption requests with flag
1138      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION (it's a new flag rather
1139      * than a change to default behavior so that applications relying on
1140      * this for security won't even compile against older library versions).
1141      * 1.0.1 and later also have a function SSL_renegotiate_abbreviated() to
1142      * request renegotiation but not a new session (s->new_session remains
1143      * unset): for servers, this essentially just means that the
1144      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION setting will be
1145      * ignored.
1146      */
1147     if (is_v2_record ||
1148         (s->new_session &&
1149          (s->options & SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION))) {
1150         if (!ssl_get_new_session(s, 1))
1151             goto err;
1152     } else {
1153         i = ssl_get_prev_session(s, &extensions, &session_id);
1154         /*
1155          * Only resume if the session's version matches the negotiated
1156          * version.
1157          * RFC 5246 does not provide much useful advice on resumption
1158          * with a different protocol version. It doesn't forbid it but
1159          * the sanity of such behaviour would be questionable.
1160          * In practice, clients do not accept a version mismatch and
1161          * will abort the handshake with an error.
1162          */
1163         if (i == 1 && s->version == s->session->ssl_version) {
1164             /* previous session */
1165             s->hit = 1;
1166         } else if (i == -1) {
1167             goto err;
1168         } else {
1169             /* i == 0 */
1170             if (!ssl_get_new_session(s, 1))
1171                 goto err;
1172         }
1173     }
1174
1175     if (ssl_bytes_to_cipher_list(s, &cipher_suites, &(ciphers),
1176                                  is_v2_record, &al) == NULL) {
1177         goto f_err;
1178     }
1179
1180     /* If it is a hit, check that the cipher is in the list */
1181     if (s->hit) {
1182         j = 0;
1183         id = s->session->cipher->id;
1184
1185 #ifdef CIPHER_DEBUG
1186         fprintf(stderr, "client sent %d ciphers\n",
1187                 sk_SSL_CIPHER_num(ciphers));
1188 #endif
1189         for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
1190             c = sk_SSL_CIPHER_value(ciphers, i);
1191 #ifdef CIPHER_DEBUG
1192             fprintf(stderr, "client [%2d of %2d]:%s\n",
1193                     i, sk_SSL_CIPHER_num(ciphers), SSL_CIPHER_get_name(c));
1194 #endif
1195             if (c->id == id) {
1196                 j = 1;
1197                 break;
1198             }
1199         }
1200         if (j == 0) {
1201             /*
1202              * we need to have the cipher in the cipher list if we are asked
1203              * to reuse it
1204              */
1205             al = SSL_AD_ILLEGAL_PARAMETER;
1206             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1207                    SSL_R_REQUIRED_CIPHER_MISSING);
1208             goto f_err;
1209         }
1210     }
1211
1212     complen = PACKET_remaining(&compression);
1213     for (j = 0; j < complen; j++) {
1214         if (PACKET_data(&compression)[j] == 0)
1215             break;
1216     }
1217
1218     if (j >= complen) {
1219         /* no compress */
1220         al = SSL_AD_DECODE_ERROR;
1221         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_COMPRESSION_SPECIFIED);
1222         goto f_err;
1223     }
1224
1225     /* TLS extensions */
1226     if (s->version >= SSL3_VERSION) {
1227         if (!ssl_parse_clienthello_tlsext(s, &extensions)) {
1228             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_PARSE_TLSEXT);
1229             goto err;
1230         }
1231     }
1232
1233     /*
1234      * Check if we want to use external pre-shared secret for this handshake
1235      * for not reused session only. We need to generate server_random before
1236      * calling tls_session_secret_cb in order to allow SessionTicket
1237      * processing to use it in key derivation.
1238      */
1239     {
1240         unsigned char *pos;
1241         pos = s->s3->server_random;
1242         if (ssl_fill_hello_random(s, 1, pos, SSL3_RANDOM_SIZE) <= 0) {
1243             goto f_err;
1244         }
1245     }
1246
1247     if (!s->hit && s->version >= TLS1_VERSION && s->tls_session_secret_cb) {
1248         const SSL_CIPHER *pref_cipher = NULL;
1249
1250         s->session->master_key_length = sizeof(s->session->master_key);
1251         if (s->tls_session_secret_cb(s, s->session->master_key,
1252                                      &s->session->master_key_length, ciphers,
1253                                      &pref_cipher,
1254                                      s->tls_session_secret_cb_arg)) {
1255             s->hit = 1;
1256             s->session->ciphers = ciphers;
1257             s->session->verify_result = X509_V_OK;
1258
1259             ciphers = NULL;
1260
1261             /* check if some cipher was preferred by call back */
1262             pref_cipher =
1263                 pref_cipher ? pref_cipher : ssl3_choose_cipher(s,
1264                                                                s->
1265                                                                session->ciphers,
1266                                                                SSL_get_ciphers
1267                                                                (s));
1268             if (pref_cipher == NULL) {
1269                 al = SSL_AD_HANDSHAKE_FAILURE;
1270                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1271                 goto f_err;
1272             }
1273
1274             s->session->cipher = pref_cipher;
1275             sk_SSL_CIPHER_free(s->cipher_list);
1276             s->cipher_list = sk_SSL_CIPHER_dup(s->session->ciphers);
1277             sk_SSL_CIPHER_free(s->cipher_list_by_id);
1278             s->cipher_list_by_id = sk_SSL_CIPHER_dup(s->session->ciphers);
1279         }
1280     }
1281
1282     /*
1283      * Worst case, we will use the NULL compression, but if we have other
1284      * options, we will now look for them.  We have complen-1 compression
1285      * algorithms from the client, starting at q.
1286      */
1287     s->s3->tmp.new_compression = NULL;
1288 #ifndef OPENSSL_NO_COMP
1289     /* This only happens if we have a cache hit */
1290     if (s->session->compress_meth != 0) {
1291         int m, comp_id = s->session->compress_meth;
1292         unsigned int k;
1293         /* Perform sanity checks on resumed compression algorithm */
1294         /* Can't disable compression */
1295         if (!ssl_allow_compression(s)) {
1296             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1297                    SSL_R_INCONSISTENT_COMPRESSION);
1298             goto f_err;
1299         }
1300         /* Look for resumed compression method */
1301         for (m = 0; m < sk_SSL_COMP_num(s->ctx->comp_methods); m++) {
1302             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1303             if (comp_id == comp->id) {
1304                 s->s3->tmp.new_compression = comp;
1305                 break;
1306             }
1307         }
1308         if (s->s3->tmp.new_compression == NULL) {
1309             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1310                    SSL_R_INVALID_COMPRESSION_ALGORITHM);
1311             goto f_err;
1312         }
1313         /* Look for resumed method in compression list */
1314         for (k = 0; k < complen; k++) {
1315             if (PACKET_data(&compression)[k] == comp_id)
1316                 break;
1317         }
1318         if (k >= complen) {
1319             al = SSL_AD_ILLEGAL_PARAMETER;
1320             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1321                    SSL_R_REQUIRED_COMPRESSION_ALGORITHM_MISSING);
1322             goto f_err;
1323         }
1324     } else if (s->hit)
1325         comp = NULL;
1326     else if (ssl_allow_compression(s) && s->ctx->comp_methods) {
1327         /* See if we have a match */
1328         int m, nn, v, done = 0;
1329         unsigned int o;
1330
1331         nn = sk_SSL_COMP_num(s->ctx->comp_methods);
1332         for (m = 0; m < nn; m++) {
1333             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1334             v = comp->id;
1335             for (o = 0; o < complen; o++) {
1336                 if (v == PACKET_data(&compression)[o]) {
1337                     done = 1;
1338                     break;
1339                 }
1340             }
1341             if (done)
1342                 break;
1343         }
1344         if (done)
1345             s->s3->tmp.new_compression = comp;
1346         else
1347             comp = NULL;
1348     }
1349 #else
1350     /*
1351      * If compression is disabled we'd better not try to resume a session
1352      * using compression.
1353      */
1354     if (s->session->compress_meth != 0) {
1355         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_INCONSISTENT_COMPRESSION);
1356         goto f_err;
1357     }
1358 #endif
1359
1360     /*
1361      * Given s->session->ciphers and SSL_get_ciphers, we must pick a cipher
1362      */
1363
1364     if (!s->hit) {
1365 #ifdef OPENSSL_NO_COMP
1366         s->session->compress_meth = 0;
1367 #else
1368         s->session->compress_meth = (comp == NULL) ? 0 : comp->id;
1369 #endif
1370         sk_SSL_CIPHER_free(s->session->ciphers);
1371         s->session->ciphers = ciphers;
1372         if (ciphers == NULL) {
1373             al = SSL_AD_INTERNAL_ERROR;
1374             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1375             goto f_err;
1376         }
1377         ciphers = NULL;
1378         if (!tls1_set_server_sigalgs(s)) {
1379             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1380             goto err;
1381         }
1382     }
1383
1384     sk_SSL_CIPHER_free(ciphers);
1385     return MSG_PROCESS_CONTINUE_PROCESSING;
1386  f_err:
1387     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1388  err:
1389     ossl_statem_set_error(s);
1390
1391     sk_SSL_CIPHER_free(ciphers);
1392     return MSG_PROCESS_ERROR;
1393
1394 }
1395
1396 WORK_STATE tls_post_process_client_hello(SSL *s, WORK_STATE wst)
1397 {
1398     int al = SSL_AD_HANDSHAKE_FAILURE;
1399     const SSL_CIPHER *cipher;
1400
1401     if (wst == WORK_MORE_A) {
1402         if (!s->hit) {
1403             /* Let cert callback update server certificates if required */
1404             if (s->cert->cert_cb) {
1405                 int rv = s->cert->cert_cb(s, s->cert->cert_cb_arg);
1406                 if (rv == 0) {
1407                     al = SSL_AD_INTERNAL_ERROR;
1408                     SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO, SSL_R_CERT_CB_ERROR);
1409                     goto f_err;
1410                 }
1411                 if (rv < 0) {
1412                     s->rwstate = SSL_X509_LOOKUP;
1413                     return WORK_MORE_A;
1414                 }
1415                 s->rwstate = SSL_NOTHING;
1416             }
1417             cipher = ssl3_choose_cipher(s, s->session->ciphers, SSL_get_ciphers(s));
1418
1419             if (cipher == NULL) {
1420                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1421                 goto f_err;
1422             }
1423             s->s3->tmp.new_cipher = cipher;
1424             /* check whether we should disable session resumption */
1425             if (s->not_resumable_session_cb != NULL)
1426                 s->session->not_resumable = s->not_resumable_session_cb(s,
1427                     ((cipher->algorithm_mkey & (SSL_kDHE | SSL_kECDHE)) != 0));
1428             if (s->session->not_resumable)
1429                 /* do not send a session ticket */
1430                 s->tlsext_ticket_expected = 0;
1431         } else {
1432             /* Session-id reuse */
1433             s->s3->tmp.new_cipher = s->session->cipher;
1434         }
1435
1436         if (!(s->verify_mode & SSL_VERIFY_PEER)) {
1437             if (!ssl3_digest_cached_records(s, 0)) {
1438                 al = SSL_AD_INTERNAL_ERROR;
1439                 goto f_err;
1440             }
1441         }
1442
1443         /*-
1444          * we now have the following setup.
1445          * client_random
1446          * cipher_list          - our preferred list of ciphers
1447          * ciphers              - the clients preferred list of ciphers
1448          * compression          - basically ignored right now
1449          * ssl version is set   - sslv3
1450          * s->session           - The ssl session has been setup.
1451          * s->hit               - session reuse flag
1452          * s->s3->tmp.new_cipher- the new cipher to use.
1453          */
1454
1455         /* Handles TLS extensions that we couldn't check earlier */
1456         if (s->version >= SSL3_VERSION) {
1457             if (!ssl_check_clienthello_tlsext_late(s, &al)) {
1458                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1459                        SSL_R_CLIENTHELLO_TLSEXT);
1460                 goto f_err;
1461             }
1462         }
1463
1464         wst = WORK_MORE_B;
1465     }
1466 #ifndef OPENSSL_NO_SRP
1467     if (wst == WORK_MORE_B) {
1468         int ret;
1469         if ((ret = ssl_check_srp_ext_ClientHello(s, &al)) < 0) {
1470             /*
1471              * callback indicates further work to be done
1472              */
1473             s->rwstate = SSL_X509_LOOKUP;
1474             return WORK_MORE_B;
1475         }
1476         if (ret != SSL_ERROR_NONE) {
1477             /*
1478              * This is not really an error but the only means to for
1479              * a client to detect whether srp is supported.
1480              */
1481             if (al != TLS1_AD_UNKNOWN_PSK_IDENTITY)
1482                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1483                            SSL_R_CLIENTHELLO_TLSEXT);
1484             goto f_err;
1485         }
1486     }
1487 #endif
1488     s->renegotiate = 2;
1489
1490     return WORK_FINISHED_STOP;
1491  f_err:
1492     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1493     ossl_statem_set_error(s);
1494     return WORK_ERROR;
1495 }
1496
1497 int tls_construct_server_hello(SSL *s)
1498 {
1499     unsigned char *buf;
1500     unsigned char *p, *d;
1501     int i, sl;
1502     int al = 0;
1503     unsigned long l;
1504
1505     buf = (unsigned char *)s->init_buf->data;
1506
1507     /* Do the message type and length last */
1508     d = p = ssl_handshake_start(s);
1509
1510     *(p++) = s->version >> 8;
1511     *(p++) = s->version & 0xff;
1512
1513     /*
1514      * Random stuff. Filling of the server_random takes place in
1515      * tls_process_client_hello()
1516      */
1517     memcpy(p, s->s3->server_random, SSL3_RANDOM_SIZE);
1518     p += SSL3_RANDOM_SIZE;
1519
1520     /*-
1521      * There are several cases for the session ID to send
1522      * back in the server hello:
1523      * - For session reuse from the session cache,
1524      *   we send back the old session ID.
1525      * - If stateless session reuse (using a session ticket)
1526      *   is successful, we send back the client's "session ID"
1527      *   (which doesn't actually identify the session).
1528      * - If it is a new session, we send back the new
1529      *   session ID.
1530      * - However, if we want the new session to be single-use,
1531      *   we send back a 0-length session ID.
1532      * s->hit is non-zero in either case of session reuse,
1533      * so the following won't overwrite an ID that we're supposed
1534      * to send back.
1535      */
1536     if (s->session->not_resumable ||
1537         (!(s->ctx->session_cache_mode & SSL_SESS_CACHE_SERVER)
1538          && !s->hit))
1539         s->session->session_id_length = 0;
1540
1541     sl = s->session->session_id_length;
1542     if (sl > (int)sizeof(s->session->session_id)) {
1543         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1544         ossl_statem_set_error(s);
1545         return 0;
1546     }
1547     *(p++) = sl;
1548     memcpy(p, s->session->session_id, sl);
1549     p += sl;
1550
1551     /* put the cipher */
1552     i = ssl3_put_cipher_by_char(s->s3->tmp.new_cipher, p);
1553     p += i;
1554
1555     /* put the compression method */
1556 #ifdef OPENSSL_NO_COMP
1557     *(p++) = 0;
1558 #else
1559     if (s->s3->tmp.new_compression == NULL)
1560         *(p++) = 0;
1561     else
1562         *(p++) = s->s3->tmp.new_compression->id;
1563 #endif
1564
1565     if (ssl_prepare_serverhello_tlsext(s) <= 0) {
1566         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, SSL_R_SERVERHELLO_TLSEXT);
1567         ossl_statem_set_error(s);
1568         return 0;
1569     }
1570     if ((p =
1571          ssl_add_serverhello_tlsext(s, p, buf + SSL3_RT_MAX_PLAIN_LENGTH,
1572                                     &al)) == NULL) {
1573         ssl3_send_alert(s, SSL3_AL_FATAL, al);
1574         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1575         ossl_statem_set_error(s);
1576         return 0;
1577     }
1578
1579     /* do the header */
1580     l = (p - d);
1581     if (!ssl_set_handshake_header(s, SSL3_MT_SERVER_HELLO, l)) {
1582         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1583         ossl_statem_set_error(s);
1584         return 0;
1585     }
1586
1587     return 1;
1588 }
1589
1590 int tls_construct_server_done(SSL *s)
1591 {
1592     if (!ssl_set_handshake_header(s, SSL3_MT_SERVER_DONE, 0)) {
1593         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_DONE, ERR_R_INTERNAL_ERROR);
1594         ossl_statem_set_error(s);
1595         return 0;
1596     }
1597
1598     if (!s->s3->tmp.cert_request) {
1599         if (!ssl3_digest_cached_records(s, 0)) {
1600             ossl_statem_set_error(s);
1601         }
1602     }
1603
1604     return 1;
1605 }
1606
1607 int tls_construct_server_key_exchange(SSL *s)
1608 {
1609 #ifndef OPENSSL_NO_DH
1610     EVP_PKEY *pkdh = NULL;
1611     int j;
1612 #endif
1613 #ifndef OPENSSL_NO_EC
1614     unsigned char *encodedPoint = NULL;
1615     int encodedlen = 0;
1616     int curve_id = 0;
1617 #endif
1618     EVP_PKEY *pkey;
1619     const EVP_MD *md = NULL;
1620     unsigned char *p, *d;
1621     int al, i;
1622     unsigned long type;
1623     int n;
1624     const BIGNUM *r[4];
1625     int nr[4], kn;
1626     BUF_MEM *buf;
1627     EVP_MD_CTX *md_ctx = EVP_MD_CTX_new();
1628
1629     if (md_ctx == NULL) {
1630         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
1631         al = SSL_AD_INTERNAL_ERROR;
1632         goto f_err;
1633     }
1634
1635     type = s->s3->tmp.new_cipher->algorithm_mkey;
1636
1637     buf = s->init_buf;
1638
1639     r[0] = r[1] = r[2] = r[3] = NULL;
1640     n = 0;
1641 #ifndef OPENSSL_NO_PSK
1642     if (type & SSL_PSK) {
1643         /*
1644          * reserve size for record length and PSK identity hint
1645          */
1646         n += 2;
1647         if (s->cert->psk_identity_hint)
1648             n += strlen(s->cert->psk_identity_hint);
1649     }
1650     /* Plain PSK or RSAPSK nothing to do */
1651     if (type & (SSL_kPSK | SSL_kRSAPSK)) {
1652     } else
1653 #endif                          /* !OPENSSL_NO_PSK */
1654 #ifndef OPENSSL_NO_DH
1655     if (type & (SSL_kDHE | SSL_kDHEPSK)) {
1656         CERT *cert = s->cert;
1657
1658         EVP_PKEY *pkdhp = NULL;
1659         DH *dh;
1660
1661         if (s->cert->dh_tmp_auto) {
1662             DH *dhp = ssl_get_auto_dh(s);
1663             pkdh = EVP_PKEY_new();
1664             if (pkdh == NULL || dhp == NULL) {
1665                 DH_free(dhp);
1666                 al = SSL_AD_INTERNAL_ERROR;
1667                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1668                        ERR_R_INTERNAL_ERROR);
1669                 goto f_err;
1670             }
1671             EVP_PKEY_assign_DH(pkdh, dhp);
1672             pkdhp = pkdh;
1673         } else {
1674             pkdhp = cert->dh_tmp;
1675         }
1676         if ((pkdhp == NULL) && (s->cert->dh_tmp_cb != NULL)) {
1677             DH *dhp = s->cert->dh_tmp_cb(s, 0, 1024);
1678             pkdh = ssl_dh_to_pkey(dhp);
1679             if (pkdh == NULL) {
1680                 al = SSL_AD_INTERNAL_ERROR;
1681                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1682                        ERR_R_INTERNAL_ERROR);
1683                 goto f_err;
1684             }
1685             pkdhp = pkdh;
1686         }
1687         if (pkdhp == NULL) {
1688             al = SSL_AD_HANDSHAKE_FAILURE;
1689             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1690                    SSL_R_MISSING_TMP_DH_KEY);
1691             goto f_err;
1692         }
1693         if (!ssl_security(s, SSL_SECOP_TMP_DH,
1694                           EVP_PKEY_security_bits(pkdhp), 0, pkdhp)) {
1695             al = SSL_AD_HANDSHAKE_FAILURE;
1696             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1697                    SSL_R_DH_KEY_TOO_SMALL);
1698             goto f_err;
1699         }
1700         if (s->s3->tmp.pkey != NULL) {
1701             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1702                    ERR_R_INTERNAL_ERROR);
1703             goto err;
1704         }
1705
1706         s->s3->tmp.pkey = ssl_generate_pkey(pkdhp);
1707
1708         if (s->s3->tmp.pkey == NULL) {
1709             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1710             goto err;
1711         }
1712
1713         dh = EVP_PKEY_get0_DH(s->s3->tmp.pkey);
1714
1715         EVP_PKEY_free(pkdh);
1716         pkdh = NULL;
1717
1718         DH_get0_pqg(dh, &r[0], NULL, &r[1]);
1719         DH_get0_key(dh, &r[2], NULL);
1720     } else
1721 #endif
1722 #ifndef OPENSSL_NO_EC
1723     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1724         int nid;
1725
1726         if (s->s3->tmp.pkey != NULL) {
1727             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1728                    ERR_R_INTERNAL_ERROR);
1729             goto err;
1730         }
1731
1732         /* Get NID of appropriate shared curve */
1733         nid = tls1_shared_curve(s, -2);
1734         curve_id = tls1_ec_nid2curve_id(nid);
1735         if (curve_id == 0) {
1736             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1737                    SSL_R_UNSUPPORTED_ELLIPTIC_CURVE);
1738             goto err;
1739         }
1740         s->s3->tmp.pkey = ssl_generate_pkey_curve(curve_id);
1741         /* Generate a new key for this curve */
1742         if (s->s3->tmp.pkey == NULL) {
1743             al = SSL_AD_INTERNAL_ERROR;
1744             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1745             goto f_err;
1746         }
1747
1748         /* Encode the public key. */
1749         encodedlen = EVP_PKEY_get1_tls_encodedpoint(s->s3->tmp.pkey,
1750                                                     &encodedPoint);
1751         if (encodedlen == 0) {
1752             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EC_LIB);
1753             goto err;
1754         }
1755
1756         /*
1757          * We only support named (not generic) curves in ECDH ephemeral key
1758          * exchanges. In this situation, we need four additional bytes to
1759          * encode the entire ServerECDHParams structure.
1760          */
1761         n += 4 + encodedlen;
1762
1763         /*
1764          * We'll generate the serverKeyExchange message explicitly so we
1765          * can set these to NULLs
1766          */
1767         r[0] = NULL;
1768         r[1] = NULL;
1769         r[2] = NULL;
1770         r[3] = NULL;
1771     } else
1772 #endif                          /* !OPENSSL_NO_EC */
1773 #ifndef OPENSSL_NO_SRP
1774     if (type & SSL_kSRP) {
1775         if ((s->srp_ctx.N == NULL) ||
1776             (s->srp_ctx.g == NULL) ||
1777             (s->srp_ctx.s == NULL) || (s->srp_ctx.B == NULL)) {
1778             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1779                    SSL_R_MISSING_SRP_PARAM);
1780             goto err;
1781         }
1782         r[0] = s->srp_ctx.N;
1783         r[1] = s->srp_ctx.g;
1784         r[2] = s->srp_ctx.s;
1785         r[3] = s->srp_ctx.B;
1786     } else
1787 #endif
1788     {
1789         al = SSL_AD_HANDSHAKE_FAILURE;
1790         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1791                SSL_R_UNKNOWN_KEY_EXCHANGE_TYPE);
1792         goto f_err;
1793     }
1794     for (i = 0; i < 4 && r[i] != NULL; i++) {
1795         nr[i] = BN_num_bytes(r[i]);
1796 #ifndef OPENSSL_NO_SRP
1797         if ((i == 2) && (type & SSL_kSRP))
1798             n += 1 + nr[i];
1799         else
1800 #endif
1801 #ifndef OPENSSL_NO_DH
1802         /*
1803          * for interoperability with some versions of the Microsoft TLS
1804          * stack, we need to zero pad the DHE pub key to the same length
1805          * as the prime, so use the length of the prime here
1806          */
1807         if ((i == 2) && (type & (SSL_kDHE | SSL_kDHEPSK)))
1808             n += 2 + nr[0];
1809         else
1810 #endif
1811             n += 2 + nr[i];
1812     }
1813
1814     if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL|SSL_aSRP))
1815         && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)) {
1816         if ((pkey = ssl_get_sign_pkey(s, s->s3->tmp.new_cipher, &md))
1817             == NULL) {
1818             al = SSL_AD_DECODE_ERROR;
1819             goto f_err;
1820         }
1821         kn = EVP_PKEY_size(pkey);
1822         /* Allow space for signature algorithm */
1823         if (SSL_USE_SIGALGS(s))
1824             kn += 2;
1825         /* Allow space for signature length */
1826         kn += 2;
1827     } else {
1828         pkey = NULL;
1829         kn = 0;
1830     }
1831
1832     if (!BUF_MEM_grow_clean(buf, n + SSL_HM_HEADER_LENGTH(s) + kn)) {
1833         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_LIB_BUF);
1834         goto err;
1835     }
1836     d = p = ssl_handshake_start(s);
1837
1838 #ifndef OPENSSL_NO_PSK
1839     if (type & SSL_PSK) {
1840         /* copy PSK identity hint */
1841         if (s->cert->psk_identity_hint) {
1842             size_t len = strlen(s->cert->psk_identity_hint);
1843             if (len > PSK_MAX_IDENTITY_LEN) {
1844                 /*
1845                  * Should not happen - we already checked this when we set
1846                  * the identity hint
1847                  */
1848                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1849                        ERR_R_INTERNAL_ERROR);
1850                 goto err;
1851             }
1852             s2n(len, p);
1853             memcpy(p, s->cert->psk_identity_hint, len);
1854             p += len;
1855         } else {
1856             s2n(0, p);
1857         }
1858     }
1859 #endif
1860
1861     for (i = 0; i < 4 && r[i] != NULL; i++) {
1862 #ifndef OPENSSL_NO_SRP
1863         if ((i == 2) && (type & SSL_kSRP)) {
1864             *p = nr[i];
1865             p++;
1866         } else
1867 #endif
1868 #ifndef OPENSSL_NO_DH
1869         /*
1870          * for interoperability with some versions of the Microsoft TLS
1871          * stack, we need to zero pad the DHE pub key to the same length
1872          * as the prime
1873          */
1874         if ((i == 2) && (type & (SSL_kDHE | SSL_kDHEPSK))) {
1875             s2n(nr[0], p);
1876             for (j = 0; j < (nr[0] - nr[2]); ++j) {
1877                 *p = 0;
1878                 ++p;
1879             }
1880         } else
1881 #endif
1882             s2n(nr[i], p);
1883         BN_bn2bin(r[i], p);
1884         p += nr[i];
1885     }
1886
1887 #ifndef OPENSSL_NO_EC
1888     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1889         /*
1890          * XXX: For now, we only support named (not generic) curves. In
1891          * this situation, the serverKeyExchange message has: [1 byte
1892          * CurveType], [2 byte CurveName] [1 byte length of encoded
1893          * point], followed by the actual encoded point itself
1894          */
1895         *p = NAMED_CURVE_TYPE;
1896         p += 1;
1897         *p = 0;
1898         p += 1;
1899         *p = curve_id;
1900         p += 1;
1901         *p = encodedlen;
1902         p += 1;
1903         memcpy(p, encodedPoint, encodedlen);
1904         OPENSSL_free(encodedPoint);
1905         encodedPoint = NULL;
1906         p += encodedlen;
1907     }
1908 #endif
1909
1910     /* not anonymous */
1911     if (pkey != NULL) {
1912         /*
1913          * n is the length of the params, they start at &(d[4]) and p
1914          * points to the space at the end.
1915          */
1916         if (md) {
1917             /* send signature algorithm */
1918             if (SSL_USE_SIGALGS(s)) {
1919                 if (!tls12_get_sigandhash(p, pkey, md)) {
1920                     /* Should never happen */
1921                     al = SSL_AD_INTERNAL_ERROR;
1922                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1923                            ERR_R_INTERNAL_ERROR);
1924                     goto f_err;
1925                 }
1926                 p += 2;
1927             }
1928 #ifdef SSL_DEBUG
1929             fprintf(stderr, "Using hash %s\n", EVP_MD_name(md));
1930 #endif
1931             if (EVP_SignInit_ex(md_ctx, md, NULL) <= 0
1932                     || EVP_SignUpdate(md_ctx, &(s->s3->client_random[0]),
1933                                       SSL3_RANDOM_SIZE) <= 0
1934                     || EVP_SignUpdate(md_ctx, &(s->s3->server_random[0]),
1935                                       SSL3_RANDOM_SIZE) <= 0
1936                     || EVP_SignUpdate(md_ctx, d, n) <= 0
1937                     || EVP_SignFinal(md_ctx, &(p[2]),
1938                                (unsigned int *)&i, pkey) <= 0) {
1939                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_LIB_EVP);
1940                 al = SSL_AD_INTERNAL_ERROR;
1941                 goto f_err;
1942             }
1943             s2n(i, p);
1944             n += i + 2;
1945             if (SSL_USE_SIGALGS(s))
1946                 n += 2;
1947         } else {
1948             /* Is this error check actually needed? */
1949             al = SSL_AD_HANDSHAKE_FAILURE;
1950             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1951                    SSL_R_UNKNOWN_PKEY_TYPE);
1952             goto f_err;
1953         }
1954     }
1955
1956     if (!ssl_set_handshake_header(s, SSL3_MT_SERVER_KEY_EXCHANGE, n)) {
1957         al = SSL_AD_HANDSHAKE_FAILURE;
1958         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
1959         goto f_err;
1960     }
1961
1962     EVP_MD_CTX_free(md_ctx);
1963     return 1;
1964  f_err:
1965     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1966  err:
1967 #ifndef OPENSSL_NO_DH
1968     EVP_PKEY_free(pkdh);
1969 #endif
1970 #ifndef OPENSSL_NO_EC
1971     OPENSSL_free(encodedPoint);
1972 #endif
1973     EVP_MD_CTX_free(md_ctx);
1974     ossl_statem_set_error(s);
1975     return 0;
1976 }
1977
1978 int tls_construct_certificate_request(SSL *s)
1979 {
1980     unsigned char *p, *d;
1981     int i, j, nl, off, n;
1982     STACK_OF(X509_NAME) *sk = NULL;
1983     X509_NAME *name;
1984     BUF_MEM *buf;
1985
1986     buf = s->init_buf;
1987
1988     d = p = ssl_handshake_start(s);
1989
1990     /* get the list of acceptable cert types */
1991     p++;
1992     n = ssl3_get_req_cert_type(s, p);
1993     d[0] = n;
1994     p += n;
1995     n++;
1996
1997     if (SSL_USE_SIGALGS(s)) {
1998         const unsigned char *psigs;
1999         unsigned char *etmp = p;
2000         nl = tls12_get_psigalgs(s, &psigs);
2001         /* Skip over length for now */
2002         p += 2;
2003         nl = tls12_copy_sigalgs(s, p, psigs, nl);
2004         /* Now fill in length */
2005         s2n(nl, etmp);
2006         p += nl;
2007         n += nl + 2;
2008     }
2009
2010     off = n;
2011     p += 2;
2012     n += 2;
2013
2014     sk = SSL_get_client_CA_list(s);
2015     nl = 0;
2016     if (sk != NULL) {
2017         for (i = 0; i < sk_X509_NAME_num(sk); i++) {
2018             name = sk_X509_NAME_value(sk, i);
2019             j = i2d_X509_NAME(name, NULL);
2020             if (!BUF_MEM_grow_clean
2021                 (buf, SSL_HM_HEADER_LENGTH(s) + n + j + 2)) {
2022                 SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
2023                        ERR_R_BUF_LIB);
2024                 goto err;
2025             }
2026             p = ssl_handshake_start(s) + n;
2027             s2n(j, p);
2028             i2d_X509_NAME(name, &p);
2029             n += 2 + j;
2030             nl += 2 + j;
2031         }
2032     }
2033     /* else no CA names */
2034     p = ssl_handshake_start(s) + off;
2035     s2n(nl, p);
2036
2037     if (!ssl_set_handshake_header(s, SSL3_MT_CERTIFICATE_REQUEST, n)) {
2038         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2039         goto err;
2040     }
2041
2042     s->s3->tmp.cert_request = 1;
2043
2044     return 1;
2045  err:
2046     ossl_statem_set_error(s);
2047     return 0;
2048 }
2049
2050 static int tls_process_cke_psk_preamble(SSL *s, PACKET *pkt, int *al)
2051 {
2052 #ifndef OPENSSL_NO_PSK
2053     unsigned char psk[PSK_MAX_PSK_LEN];
2054     size_t psklen;
2055     PACKET psk_identity;
2056
2057     if (!PACKET_get_length_prefixed_2(pkt, &psk_identity)) {
2058         *al = SSL_AD_DECODE_ERROR;
2059         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_LENGTH_MISMATCH);
2060         return 0;
2061     }
2062     if (PACKET_remaining(&psk_identity) > PSK_MAX_IDENTITY_LEN) {
2063         *al = SSL_AD_DECODE_ERROR;
2064         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_DATA_LENGTH_TOO_LONG);
2065         return 0;
2066     }
2067     if (s->psk_server_callback == NULL) {
2068         *al = SSL_AD_INTERNAL_ERROR;
2069         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE,
2070                SSL_R_PSK_NO_SERVER_CB);
2071         return 0;
2072     }
2073
2074     if (!PACKET_strndup(&psk_identity, &s->session->psk_identity)) {
2075         *al = SSL_AD_INTERNAL_ERROR;
2076         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2077         return 0;
2078     }
2079
2080     psklen = s->psk_server_callback(s, s->session->psk_identity,
2081                                      psk, sizeof(psk));
2082
2083     if (psklen > PSK_MAX_PSK_LEN) {
2084         *al = SSL_AD_INTERNAL_ERROR;
2085         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2086         return 0;
2087     } else if (psklen == 0) {
2088         /*
2089          * PSK related to the given identity not found
2090          */
2091         *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
2092         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE,
2093                SSL_R_PSK_IDENTITY_NOT_FOUND);
2094         return 0;
2095     }
2096
2097     OPENSSL_free(s->s3->tmp.psk);
2098     s->s3->tmp.psk = OPENSSL_memdup(psk, psklen);
2099     OPENSSL_cleanse(psk, psklen);
2100
2101     if (s->s3->tmp.psk == NULL) {
2102         *al = SSL_AD_INTERNAL_ERROR;
2103         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_MALLOC_FAILURE);
2104         return 0;
2105     }
2106
2107     s->s3->tmp.psklen = psklen;
2108
2109     return 1;
2110 #else
2111     /* Should never happen */
2112     *al = SSL_AD_INTERNAL_ERROR;
2113     SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2114     return 0;
2115 #endif
2116 }
2117
2118
2119 static int tls_process_cke_rsa(SSL *s, PACKET *pkt, int *al)
2120 {
2121 #ifndef OPENSSL_NO_RSA
2122     unsigned char rand_premaster_secret[SSL_MAX_MASTER_KEY_LENGTH];
2123     int decrypt_len;
2124     unsigned char decrypt_good, version_good;
2125     size_t j, padding_len;
2126     PACKET enc_premaster;
2127     RSA *rsa = NULL;
2128     unsigned char *rsa_decrypt = NULL;
2129     int ret = 0;
2130
2131     rsa = EVP_PKEY_get0_RSA(s->cert->pkeys[SSL_PKEY_RSA_ENC].privatekey);
2132     if (rsa == NULL) {
2133         *al = SSL_AD_HANDSHAKE_FAILURE;
2134         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_MISSING_RSA_CERTIFICATE);
2135         return 0;
2136     }
2137
2138     /* SSLv3 and pre-standard DTLS omit the length bytes. */
2139     if (s->version == SSL3_VERSION || s->version == DTLS1_BAD_VER) {
2140         enc_premaster = *pkt;
2141     } else {
2142         if (!PACKET_get_length_prefixed_2(pkt, &enc_premaster)
2143             || PACKET_remaining(pkt) != 0) {
2144             *al = SSL_AD_DECODE_ERROR;
2145             SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_LENGTH_MISMATCH);
2146             return 0;
2147         }
2148     }
2149
2150     /*
2151      * We want to be sure that the plaintext buffer size makes it safe to
2152      * iterate over the entire size of a premaster secret
2153      * (SSL_MAX_MASTER_KEY_LENGTH). Reject overly short RSA keys because
2154      * their ciphertext cannot accommodate a premaster secret anyway.
2155      */
2156     if (RSA_size(rsa) < SSL_MAX_MASTER_KEY_LENGTH) {
2157         *al = SSL_AD_INTERNAL_ERROR;
2158         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, RSA_R_KEY_SIZE_TOO_SMALL);
2159         return 0;
2160     }
2161
2162     rsa_decrypt = OPENSSL_malloc(RSA_size(rsa));
2163     if (rsa_decrypt == NULL) {
2164         *al = SSL_AD_INTERNAL_ERROR;
2165         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_MALLOC_FAILURE);
2166         return 0;
2167     }
2168
2169     /*
2170      * We must not leak whether a decryption failure occurs because of
2171      * Bleichenbacher's attack on PKCS #1 v1.5 RSA padding (see RFC 2246,
2172      * section 7.4.7.1). The code follows that advice of the TLS RFC and
2173      * generates a random premaster secret for the case that the decrypt
2174      * fails. See https://tools.ietf.org/html/rfc5246#section-7.4.7.1
2175      */
2176
2177     if (RAND_bytes(rand_premaster_secret,
2178                    sizeof(rand_premaster_secret)) <= 0)
2179         goto err;
2180
2181     /*
2182      * Decrypt with no padding. PKCS#1 padding will be removed as part of
2183      * the timing-sensitive code below.
2184      */
2185     decrypt_len = RSA_private_decrypt(PACKET_remaining(&enc_premaster),
2186                                       PACKET_data(&enc_premaster),
2187                                       rsa_decrypt, rsa, RSA_NO_PADDING);
2188     if (decrypt_len < 0)
2189         goto err;
2190
2191     /* Check the padding. See RFC 3447, section 7.2.2. */
2192
2193     /*
2194      * The smallest padded premaster is 11 bytes of overhead. Small keys
2195      * are publicly invalid, so this may return immediately. This ensures
2196      * PS is at least 8 bytes.
2197      */
2198     if (decrypt_len < 11 + SSL_MAX_MASTER_KEY_LENGTH) {
2199         *al = SSL_AD_DECRYPT_ERROR;
2200         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_DECRYPTION_FAILED);
2201         goto err;
2202     }
2203
2204     padding_len = decrypt_len - SSL_MAX_MASTER_KEY_LENGTH;
2205     decrypt_good = constant_time_eq_int_8(rsa_decrypt[0], 0) &
2206                    constant_time_eq_int_8(rsa_decrypt[1], 2);
2207     for (j = 2; j < padding_len - 1; j++) {
2208         decrypt_good &= ~constant_time_is_zero_8(rsa_decrypt[j]);
2209     }
2210     decrypt_good &= constant_time_is_zero_8(rsa_decrypt[padding_len - 1]);
2211
2212     /*
2213      * If the version in the decrypted pre-master secret is correct then
2214      * version_good will be 0xff, otherwise it'll be zero. The
2215      * Klima-Pokorny-Rosa extension of Bleichenbacher's attack
2216      * (http://eprint.iacr.org/2003/052/) exploits the version number
2217      * check as a "bad version oracle". Thus version checks are done in
2218      * constant time and are treated like any other decryption error.
2219      */
2220     version_good =
2221         constant_time_eq_8(rsa_decrypt[padding_len],
2222                            (unsigned)(s->client_version >> 8));
2223     version_good &=
2224         constant_time_eq_8(rsa_decrypt[padding_len + 1],
2225                            (unsigned)(s->client_version & 0xff));
2226
2227     /*
2228      * The premaster secret must contain the same version number as the
2229      * ClientHello to detect version rollback attacks (strangely, the
2230      * protocol does not offer such protection for DH ciphersuites).
2231      * However, buggy clients exist that send the negotiated protocol
2232      * version instead if the server does not support the requested
2233      * protocol version. If SSL_OP_TLS_ROLLBACK_BUG is set, tolerate such
2234      * clients.
2235      */
2236     if (s->options & SSL_OP_TLS_ROLLBACK_BUG) {
2237         unsigned char workaround_good;
2238         workaround_good = constant_time_eq_8(rsa_decrypt[padding_len],
2239                                              (unsigned)(s->version >> 8));
2240         workaround_good &=
2241             constant_time_eq_8(rsa_decrypt[padding_len + 1],
2242                                (unsigned)(s->version & 0xff));
2243         version_good |= workaround_good;
2244     }
2245
2246     /*
2247      * Both decryption and version must be good for decrypt_good to
2248      * remain non-zero (0xff).
2249      */
2250     decrypt_good &= version_good;
2251
2252     /*
2253      * Now copy rand_premaster_secret over from p using
2254      * decrypt_good_mask. If decryption failed, then p does not
2255      * contain valid plaintext, however, a check above guarantees
2256      * it is still sufficiently large to read from.
2257      */
2258     for (j = 0; j < sizeof(rand_premaster_secret); j++) {
2259         rsa_decrypt[padding_len + j] =
2260             constant_time_select_8(decrypt_good,
2261                                    rsa_decrypt[padding_len + j],
2262                                    rand_premaster_secret[j]);
2263     }
2264
2265     if (!ssl_generate_master_secret(s, rsa_decrypt + padding_len,
2266                                     sizeof(rand_premaster_secret), 0)) {
2267         *al = SSL_AD_INTERNAL_ERROR;
2268         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2269         goto err;
2270     }
2271
2272     ret = 1;
2273  err:
2274     OPENSSL_free(rsa_decrypt);
2275     return ret;
2276 #else
2277     /* Should never happen */
2278     *al = SSL_AD_INTERNAL_ERROR;
2279     SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2280     return 0;
2281 #endif
2282 }
2283
2284 static int tls_process_cke_dhe(SSL *s, PACKET *pkt, int *al)
2285 {
2286 #ifndef OPENSSL_NO_DH
2287     EVP_PKEY *skey = NULL;
2288     DH *cdh;
2289     unsigned int i;
2290     BIGNUM *pub_key;
2291     const unsigned char *data;
2292     EVP_PKEY *ckey = NULL;
2293     int ret = 0;
2294
2295     if (!PACKET_get_net_2(pkt, &i) || PACKET_remaining(pkt) != i) {
2296         *al = SSL_AD_HANDSHAKE_FAILURE;
2297         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE,
2298                SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2299         goto err;
2300     }
2301     skey = s->s3->tmp.pkey;
2302     if (skey == NULL) {
2303         *al = SSL_AD_HANDSHAKE_FAILURE;
2304         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2305         goto err;
2306     }
2307
2308     if (PACKET_remaining(pkt) == 0L) {
2309         *al = SSL_AD_HANDSHAKE_FAILURE;
2310         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2311         goto err;
2312     }
2313     if (!PACKET_get_bytes(pkt, &data, i)) {
2314         /* We already checked we have enough data */
2315         *al = SSL_AD_INTERNAL_ERROR;
2316         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2317         goto err;
2318     }
2319     ckey = EVP_PKEY_new();
2320     if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) == 0) {
2321         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_BN_LIB);
2322         goto err;
2323     }
2324     cdh = EVP_PKEY_get0_DH(ckey);
2325     pub_key = BN_bin2bn(data, i, NULL);
2326
2327     if (pub_key == NULL || !DH_set0_key(cdh, pub_key, NULL)) {
2328         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2329         if (pub_key != NULL)
2330             BN_free(pub_key);
2331         goto err;
2332     }
2333
2334     if (ssl_derive(s, skey, ckey) == 0) {
2335         *al = SSL_AD_INTERNAL_ERROR;
2336         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2337         goto err;
2338     }
2339
2340     ret = 1;
2341     EVP_PKEY_free(s->s3->tmp.pkey);
2342     s->s3->tmp.pkey = NULL;
2343  err:
2344     EVP_PKEY_free(ckey);
2345     return ret;
2346 #else
2347     /* Should never happen */
2348     *al = SSL_AD_INTERNAL_ERROR;
2349     SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2350     return 0;
2351 #endif
2352 }
2353
2354 static int tls_process_cke_ecdhe(SSL *s, PACKET *pkt, int *al)
2355 {
2356 #ifndef OPENSSL_NO_EC
2357     EVP_PKEY *skey = s->s3->tmp.pkey;
2358     EVP_PKEY *ckey = NULL;
2359     int ret = 0;
2360
2361     if (PACKET_remaining(pkt) == 0L) {
2362         /* We don't support ECDH client auth */
2363         *al = SSL_AD_HANDSHAKE_FAILURE;
2364         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_MISSING_TMP_ECDH_KEY);
2365         goto err;
2366     } else {
2367         unsigned int i;
2368         const unsigned char *data;
2369
2370         /*
2371          * Get client's public key from encoded point in the
2372          * ClientKeyExchange message.
2373          */
2374
2375         /* Get encoded point length */
2376         if (!PACKET_get_1(pkt, &i) || !PACKET_get_bytes(pkt, &data, i)
2377             || PACKET_remaining(pkt) != 0) {
2378             *al = SSL_AD_DECODE_ERROR;
2379             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_LENGTH_MISMATCH);
2380             goto err;
2381         }
2382         ckey = EVP_PKEY_new();
2383         if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) <= 0) {
2384             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EVP_LIB);
2385             goto err;
2386         }
2387         if (EVP_PKEY_set1_tls_encodedpoint(ckey, data, i) == 0) {
2388             *al = SSL_AD_HANDSHAKE_FAILURE;
2389             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EC_LIB);
2390             goto err;
2391         }
2392     }
2393
2394     if (ssl_derive(s, skey, ckey) == 0) {
2395         *al = SSL_AD_INTERNAL_ERROR;
2396         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2397         goto err;
2398     }
2399
2400     ret = 1;
2401     EVP_PKEY_free(s->s3->tmp.pkey);
2402     s->s3->tmp.pkey = NULL;
2403  err:
2404     EVP_PKEY_free(ckey);
2405
2406     return ret;
2407 #else
2408     /* Should never happen */
2409     *al = SSL_AD_INTERNAL_ERROR;
2410     SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2411     return 0;
2412 #endif
2413 }
2414
2415 static int tls_process_cke_srp(SSL *s, PACKET *pkt, int *al)
2416 {
2417 #ifndef OPENSSL_NO_SRP
2418     unsigned int i;
2419     const unsigned char *data;
2420
2421     if (!PACKET_get_net_2(pkt, &i)
2422             || !PACKET_get_bytes(pkt, &data, i)) {
2423         *al = SSL_AD_DECODE_ERROR;
2424         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_A_LENGTH);
2425         return 0;
2426     }
2427     if ((s->srp_ctx.A = BN_bin2bn(data, i, NULL)) == NULL) {
2428         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_BN_LIB);
2429         return 0;
2430     }
2431     if (BN_ucmp(s->srp_ctx.A, s->srp_ctx.N) >= 0
2432         || BN_is_zero(s->srp_ctx.A)) {
2433         *al = SSL_AD_ILLEGAL_PARAMETER;
2434         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_PARAMETERS);
2435         return 0;
2436     }
2437     OPENSSL_free(s->session->srp_username);
2438     s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
2439     if (s->session->srp_username == NULL) {
2440         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_MALLOC_FAILURE);
2441         return 0;
2442     }
2443
2444     if (!srp_generate_server_master_secret(s)) {
2445         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2446         return 0;
2447     }
2448
2449     return 1;
2450 #else
2451     /* Should never happen */
2452     *al = SSL_AD_INTERNAL_ERROR;
2453     SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2454     return 0;
2455 #endif
2456 }
2457
2458 static int tls_process_cke_gost(SSL *s, PACKET *pkt, int *al)
2459 {
2460 #ifndef OPENSSL_NO_GOST
2461     EVP_PKEY_CTX *pkey_ctx;
2462     EVP_PKEY *client_pub_pkey = NULL, *pk = NULL;
2463     unsigned char premaster_secret[32];
2464     const unsigned char *start;
2465     size_t outlen = 32, inlen;
2466     unsigned long alg_a;
2467     int Ttag, Tclass;
2468     long Tlen;
2469     long sess_key_len;
2470     const unsigned char *data;
2471     int ret = 0;
2472
2473     /* Get our certificate private key */
2474     alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2475     if (alg_a & SSL_aGOST12) {
2476         /*
2477          * New GOST ciphersuites have SSL_aGOST01 bit too
2478          */
2479         pk = s->cert->pkeys[SSL_PKEY_GOST12_512].privatekey;
2480         if (pk == NULL) {
2481             pk = s->cert->pkeys[SSL_PKEY_GOST12_256].privatekey;
2482         }
2483         if (pk == NULL) {
2484             pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2485         }
2486     } else if (alg_a & SSL_aGOST01) {
2487         pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2488     }
2489
2490     pkey_ctx = EVP_PKEY_CTX_new(pk, NULL);
2491     if (pkey_ctx == NULL) {
2492         *al = SSL_AD_INTERNAL_ERROR;
2493         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_MALLOC_FAILURE);
2494         return 0;
2495     }
2496     if (EVP_PKEY_decrypt_init(pkey_ctx) <= 0) {
2497         *al = SSL_AD_INTERNAL_ERROR;
2498         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2499         return 0;
2500     }
2501     /*
2502      * If client certificate is present and is of the same type, maybe
2503      * use it for key exchange.  Don't mind errors from
2504      * EVP_PKEY_derive_set_peer, because it is completely valid to use a
2505      * client certificate for authorization only.
2506      */
2507     client_pub_pkey = X509_get0_pubkey(s->session->peer);
2508     if (client_pub_pkey) {
2509         if (EVP_PKEY_derive_set_peer(pkey_ctx, client_pub_pkey) <= 0)
2510             ERR_clear_error();
2511     }
2512     /* Decrypt session key */
2513     sess_key_len = PACKET_remaining(pkt);
2514     if (!PACKET_get_bytes(pkt, &data, sess_key_len)) {
2515         *al = SSL_AD_INTERNAL_ERROR;
2516         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2517         goto err;
2518     }
2519     if (ASN1_get_object ((const unsigned char **)&data, &Tlen, &Ttag,
2520                          &Tclass, sess_key_len) != V_ASN1_CONSTRUCTED
2521         || Ttag != V_ASN1_SEQUENCE
2522         || Tclass != V_ASN1_UNIVERSAL) {
2523         *al = SSL_AD_DECODE_ERROR;
2524         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2525         goto err;
2526     }
2527     start = data;
2528     inlen = Tlen;
2529     if (EVP_PKEY_decrypt
2530         (pkey_ctx, premaster_secret, &outlen, start, inlen) <= 0) {
2531         *al = SSL_AD_DECODE_ERROR;
2532         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2533         goto err;
2534     }
2535     /* Generate master secret */
2536     if (!ssl_generate_master_secret(s, premaster_secret,
2537                                     sizeof(premaster_secret), 0)) {
2538         *al = SSL_AD_INTERNAL_ERROR;
2539         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2540         goto err;
2541     }
2542     /* Check if pubkey from client certificate was used */
2543     if (EVP_PKEY_CTX_ctrl
2544         (pkey_ctx, -1, -1, EVP_PKEY_CTRL_PEER_KEY, 2, NULL) > 0)
2545         s->statem.no_cert_verify = 1;
2546
2547     ret = 1;
2548  err:
2549     EVP_PKEY_CTX_free(pkey_ctx);
2550     return ret;
2551 #else
2552     /* Should never happen */
2553     *al = SSL_AD_INTERNAL_ERROR;
2554     SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2555     return 0;
2556 #endif
2557 }
2558
2559 MSG_PROCESS_RETURN tls_process_client_key_exchange(SSL *s, PACKET *pkt)
2560 {
2561     int al = -1;
2562     unsigned long alg_k;
2563
2564     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2565
2566     /* For PSK parse and retrieve identity, obtain PSK key */
2567     if ((alg_k & SSL_PSK) && !tls_process_cke_psk_preamble(s, pkt, &al))
2568         goto err;
2569
2570     if (alg_k & SSL_kPSK) {
2571         /* Identity extracted earlier: should be nothing left */
2572         if (PACKET_remaining(pkt) != 0) {
2573             al = SSL_AD_HANDSHAKE_FAILURE;
2574             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_LENGTH_MISMATCH);
2575             goto err;
2576         }
2577         /* PSK handled by ssl_generate_master_secret */
2578         if (!ssl_generate_master_secret(s, NULL, 0, 0)) {
2579             al = SSL_AD_INTERNAL_ERROR;
2580             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2581             goto err;
2582         }
2583     } else if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
2584         if (!tls_process_cke_rsa(s, pkt, &al))
2585             goto err;
2586     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2587         if (!tls_process_cke_dhe(s, pkt, &al))
2588             goto err;
2589     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2590         if (!tls_process_cke_ecdhe(s, pkt, &al))
2591             goto err;
2592     } else if (alg_k & SSL_kSRP) {
2593         if (!tls_process_cke_srp(s, pkt, &al))
2594             goto err;
2595     } else if (alg_k & SSL_kGOST) {
2596         if (!tls_process_cke_gost(s, pkt, &al))
2597             goto err;
2598     } else {
2599         al = SSL_AD_HANDSHAKE_FAILURE;
2600         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_UNKNOWN_CIPHER_TYPE);
2601         goto err;
2602     }
2603
2604     return MSG_PROCESS_CONTINUE_PROCESSING;
2605  err:
2606     if (al != -1)
2607         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2608 #ifndef OPENSSL_NO_PSK
2609     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
2610     s->s3->tmp.psk = NULL;
2611 #endif
2612     ossl_statem_set_error(s);
2613     return MSG_PROCESS_ERROR;
2614 }
2615
2616 WORK_STATE tls_post_process_client_key_exchange(SSL *s, WORK_STATE wst)
2617 {
2618 #ifndef OPENSSL_NO_SCTP
2619     if (wst == WORK_MORE_A) {
2620         if (SSL_IS_DTLS(s)) {
2621             unsigned char sctpauthkey[64];
2622             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
2623             /*
2624              * Add new shared key for SCTP-Auth, will be ignored if no SCTP
2625              * used.
2626              */
2627             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
2628                    sizeof(DTLS1_SCTP_AUTH_LABEL));
2629
2630             if (SSL_export_keying_material(s, sctpauthkey,
2631                                        sizeof(sctpauthkey), labelbuffer,
2632                                        sizeof(labelbuffer), NULL, 0, 0) <= 0) {
2633                 ossl_statem_set_error(s);
2634                 return WORK_ERROR;;
2635             }
2636
2637             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
2638                      sizeof(sctpauthkey), sctpauthkey);
2639         }
2640         wst = WORK_MORE_B;
2641     }
2642
2643     if ((wst == WORK_MORE_B)
2644             /* Is this SCTP? */
2645             && BIO_dgram_is_sctp(SSL_get_wbio(s))
2646             /* Are we renegotiating? */
2647             && s->renegotiate
2648             /* Are we going to skip the CertificateVerify? */
2649             && (s->session->peer == NULL || s->statem.no_cert_verify)
2650             && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
2651         s->s3->in_read_app_data = 2;
2652         s->rwstate = SSL_READING;
2653         BIO_clear_retry_flags(SSL_get_rbio(s));
2654         BIO_set_retry_read(SSL_get_rbio(s));
2655         ossl_statem_set_sctp_read_sock(s, 1);
2656         return WORK_MORE_B;
2657     } else {
2658         ossl_statem_set_sctp_read_sock(s, 0);
2659     }
2660 #endif
2661
2662     if (s->statem.no_cert_verify || !s->session->peer) {
2663         /* No certificate verify or no peer certificate so we no longer need the
2664          * handshake_buffer
2665          */
2666         if (!ssl3_digest_cached_records(s, 0)) {
2667             ossl_statem_set_error(s);
2668             return WORK_ERROR;
2669         }
2670         return WORK_FINISHED_CONTINUE;
2671     } else {
2672         if (!s->s3->handshake_buffer) {
2673             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_KEY_EXCHANGE,
2674                    ERR_R_INTERNAL_ERROR);
2675             ossl_statem_set_error(s);
2676             return WORK_ERROR;
2677         }
2678         /*
2679          * For sigalgs freeze the handshake buffer. If we support
2680          * extms we've done this already so this is a no-op
2681          */
2682         if (!ssl3_digest_cached_records(s, 1)) {
2683             ossl_statem_set_error(s);
2684             return WORK_ERROR;
2685         }
2686     }
2687
2688     return WORK_FINISHED_CONTINUE;
2689 }
2690
2691 MSG_PROCESS_RETURN tls_process_cert_verify(SSL *s, PACKET *pkt)
2692 {
2693     EVP_PKEY *pkey = NULL;
2694     const unsigned char *sig, *data;
2695 #ifndef OPENSSL_NO_GOST
2696     unsigned char *gost_data = NULL;
2697 #endif
2698     int al, ret = MSG_PROCESS_ERROR;
2699     int type = 0, j;
2700     unsigned int len;
2701     X509 *peer;
2702     const EVP_MD *md = NULL;
2703     long hdatalen = 0;
2704     void *hdata;
2705
2706     EVP_MD_CTX *mctx = EVP_MD_CTX_new();
2707
2708     if (mctx == NULL) {
2709         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2710         al = SSL_AD_INTERNAL_ERROR;
2711         goto f_err;
2712     }
2713
2714     peer = s->session->peer;
2715     pkey = X509_get0_pubkey(peer);
2716     type = X509_certificate_type(peer, pkey);
2717
2718     if (!(type & EVP_PKT_SIGN)) {
2719         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY,
2720                SSL_R_SIGNATURE_FOR_NON_SIGNING_CERTIFICATE);
2721         al = SSL_AD_ILLEGAL_PARAMETER;
2722         goto f_err;
2723     }
2724
2725     /* Check for broken implementations of GOST ciphersuites */
2726     /*
2727      * If key is GOST and n is exactly 64, it is bare signature without
2728      * length field (CryptoPro implementations at least till CSP 4.0)
2729      */
2730 #ifndef OPENSSL_NO_GOST
2731     if (PACKET_remaining(pkt) == 64
2732         && EVP_PKEY_id(pkey) == NID_id_GostR3410_2001) {
2733         len = 64;
2734     } else
2735 #endif
2736     {
2737         if (SSL_USE_SIGALGS(s)) {
2738             int rv;
2739
2740             if (!PACKET_get_bytes(pkt, &sig, 2)) {
2741                 al = SSL_AD_DECODE_ERROR;
2742                 goto f_err;
2743             }
2744             rv = tls12_check_peer_sigalg(&md, s, sig, pkey);
2745             if (rv == -1) {
2746                 al = SSL_AD_INTERNAL_ERROR;
2747                 goto f_err;
2748             } else if (rv == 0) {
2749                 al = SSL_AD_DECODE_ERROR;
2750                 goto f_err;
2751             }
2752 #ifdef SSL_DEBUG
2753             fprintf(stderr, "USING TLSv1.2 HASH %s\n", EVP_MD_name(md));
2754 #endif
2755         } else {
2756             /* Use default digest for this key type */
2757             int idx = ssl_cert_type(NULL, pkey);
2758             if (idx >= 0)
2759                 md = s->s3->tmp.md[idx];
2760             if (md == NULL) {
2761                 al = SSL_AD_INTERNAL_ERROR;
2762                 goto f_err;
2763             }
2764         }
2765
2766         if (!PACKET_get_net_2(pkt, &len)) {
2767             SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2768             al = SSL_AD_DECODE_ERROR;
2769             goto f_err;
2770         }
2771     }
2772     j = EVP_PKEY_size(pkey);
2773     if (((int)len > j) || ((int)PACKET_remaining(pkt) > j)
2774             || (PACKET_remaining(pkt) == 0)) {
2775         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_WRONG_SIGNATURE_SIZE);
2776         al = SSL_AD_DECODE_ERROR;
2777         goto f_err;
2778     }
2779     if (!PACKET_get_bytes(pkt, &data, len)) {
2780         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2781         al = SSL_AD_DECODE_ERROR;
2782         goto f_err;
2783     }
2784
2785     hdatalen = BIO_get_mem_data(s->s3->handshake_buffer, &hdata);
2786     if (hdatalen <= 0) {
2787         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_INTERNAL_ERROR);
2788         al = SSL_AD_INTERNAL_ERROR;
2789         goto f_err;
2790     }
2791 #ifdef SSL_DEBUG
2792     fprintf(stderr, "Using client verify alg %s\n", EVP_MD_name(md));
2793 #endif
2794     if (!EVP_VerifyInit_ex(mctx, md, NULL)
2795         || !EVP_VerifyUpdate(mctx, hdata, hdatalen)) {
2796         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2797         al = SSL_AD_INTERNAL_ERROR;
2798         goto f_err;
2799     }
2800
2801 #ifndef OPENSSL_NO_GOST
2802     {
2803         int pktype = EVP_PKEY_id(pkey);
2804         if (pktype == NID_id_GostR3410_2001
2805             || pktype == NID_id_GostR3410_2012_256
2806             || pktype == NID_id_GostR3410_2012_512) {
2807             if ((gost_data = OPENSSL_malloc(len)) == NULL) {
2808                 SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2809                 al = SSL_AD_INTERNAL_ERROR;
2810                 goto f_err;
2811             }
2812             BUF_reverse(gost_data, data, len);
2813             data = gost_data;
2814         }
2815     }
2816 #endif
2817
2818     if (s->version == SSL3_VERSION
2819         && !EVP_MD_CTX_ctrl(mctx, EVP_CTRL_SSL3_MASTER_SECRET,
2820                             s->session->master_key_length,
2821                             s->session->master_key)) {
2822         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2823         al = SSL_AD_INTERNAL_ERROR;
2824         goto f_err;
2825     }
2826
2827     if (EVP_VerifyFinal(mctx, data, len, pkey) <= 0) {
2828         al = SSL_AD_DECRYPT_ERROR;
2829         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_BAD_SIGNATURE);
2830         goto f_err;
2831     }
2832
2833     ret = MSG_PROCESS_CONTINUE_PROCESSING;
2834     if (0) {
2835  f_err:
2836         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2837         ossl_statem_set_error(s);
2838     }
2839     BIO_free(s->s3->handshake_buffer);
2840     s->s3->handshake_buffer = NULL;
2841     EVP_MD_CTX_free(mctx);
2842 #ifndef OPENSSL_NO_GOST
2843     OPENSSL_free(gost_data);
2844 #endif
2845     return ret;
2846 }
2847
2848 MSG_PROCESS_RETURN tls_process_client_certificate(SSL *s, PACKET *pkt)
2849 {
2850     int i, al = SSL_AD_INTERNAL_ERROR, ret = MSG_PROCESS_ERROR;
2851     X509 *x = NULL;
2852     unsigned long l, llen;
2853     const unsigned char *certstart, *certbytes;
2854     STACK_OF(X509) *sk = NULL;
2855     PACKET spkt;
2856
2857     if ((sk = sk_X509_new_null()) == NULL) {
2858         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
2859         goto f_err;
2860     }
2861
2862     if (!PACKET_get_net_3(pkt, &llen)
2863             || !PACKET_get_sub_packet(pkt, &spkt, llen)
2864             || PACKET_remaining(pkt) != 0) {
2865         al = SSL_AD_DECODE_ERROR;
2866         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_LENGTH_MISMATCH);
2867         goto f_err;
2868     }
2869
2870     while (PACKET_remaining(&spkt) > 0) {
2871         if (!PACKET_get_net_3(&spkt, &l)
2872                 || !PACKET_get_bytes(&spkt, &certbytes, l)) {
2873             al = SSL_AD_DECODE_ERROR;
2874             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2875                    SSL_R_CERT_LENGTH_MISMATCH);
2876             goto f_err;
2877         }
2878
2879         certstart = certbytes;
2880         x = d2i_X509(NULL, (const unsigned char **)&certbytes, l);
2881         if (x == NULL) {
2882             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_ASN1_LIB);
2883             goto f_err;
2884         }
2885         if (certbytes != (certstart + l)) {
2886             al = SSL_AD_DECODE_ERROR;
2887             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2888                    SSL_R_CERT_LENGTH_MISMATCH);
2889             goto f_err;
2890         }
2891         if (!sk_X509_push(sk, x)) {
2892             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
2893             goto f_err;
2894         }
2895         x = NULL;
2896     }
2897
2898     if (sk_X509_num(sk) <= 0) {
2899         /* TLS does not mind 0 certs returned */
2900         if (s->version == SSL3_VERSION) {
2901             al = SSL_AD_HANDSHAKE_FAILURE;
2902             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2903                    SSL_R_NO_CERTIFICATES_RETURNED);
2904             goto f_err;
2905         }
2906         /* Fail for TLS only if we required a certificate */
2907         else if ((s->verify_mode & SSL_VERIFY_PEER) &&
2908                  (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
2909             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2910                    SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
2911             al = SSL_AD_HANDSHAKE_FAILURE;
2912             goto f_err;
2913         }
2914         /* No client certificate so digest cached records */
2915         if (s->s3->handshake_buffer && !ssl3_digest_cached_records(s, 0)) {
2916             goto f_err;
2917         }
2918     } else {
2919         EVP_PKEY *pkey;
2920         i = ssl_verify_cert_chain(s, sk);
2921         if (i <= 0) {
2922             al = ssl_verify_alarm_type(s->verify_result);
2923             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2924                    SSL_R_CERTIFICATE_VERIFY_FAILED);
2925             goto f_err;
2926         }
2927         if (i > 1) {
2928             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, i);
2929             al = SSL_AD_HANDSHAKE_FAILURE;
2930             goto f_err;
2931         }
2932         pkey = X509_get0_pubkey(sk_X509_value(sk, 0));
2933         if (pkey == NULL) {
2934             al = SSL3_AD_HANDSHAKE_FAILURE;
2935             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2936                    SSL_R_UNKNOWN_CERTIFICATE_TYPE);
2937             goto f_err;
2938         }
2939     }
2940
2941     X509_free(s->session->peer);
2942     s->session->peer = sk_X509_shift(sk);
2943     s->session->verify_result = s->verify_result;
2944
2945     sk_X509_pop_free(s->session->peer_chain, X509_free);
2946     s->session->peer_chain = sk;
2947     /*
2948      * Inconsistency alert: cert_chain does *not* include the peer's own
2949      * certificate, while we do include it in statem_clnt.c
2950      */
2951     sk = NULL;
2952     ret = MSG_PROCESS_CONTINUE_READING;
2953     goto done;
2954
2955  f_err:
2956     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2957     ossl_statem_set_error(s);
2958  done:
2959     X509_free(x);
2960     sk_X509_pop_free(sk, X509_free);
2961     return ret;
2962 }
2963
2964 int tls_construct_server_certificate(SSL *s)
2965 {
2966     CERT_PKEY *cpk;
2967
2968     cpk = ssl_get_server_send_pkey(s);
2969     if (cpk == NULL) {
2970         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2971         ossl_statem_set_error(s);
2972         return 0;
2973     }
2974
2975     if (!ssl3_output_cert_chain(s, cpk)) {
2976         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2977         ossl_statem_set_error(s);
2978         return 0;
2979     }
2980
2981     return 1;
2982 }
2983
2984 int tls_construct_new_session_ticket(SSL *s)
2985 {
2986     unsigned char *senc = NULL;
2987     EVP_CIPHER_CTX *ctx;
2988     HMAC_CTX *hctx = NULL;
2989     unsigned char *p, *macstart;
2990     const unsigned char *const_p;
2991     int len, slen_full, slen;
2992     SSL_SESSION *sess;
2993     unsigned int hlen;
2994     SSL_CTX *tctx = s->initial_ctx;
2995     unsigned char iv[EVP_MAX_IV_LENGTH];
2996     unsigned char key_name[TLSEXT_KEYNAME_LENGTH];
2997     int iv_len;
2998
2999     /* get session encoding length */
3000     slen_full = i2d_SSL_SESSION(s->session, NULL);
3001     /*
3002      * Some length values are 16 bits, so forget it if session is too
3003      * long
3004      */
3005     if (slen_full == 0 || slen_full > 0xFF00) {
3006         ossl_statem_set_error(s);
3007         return 0;
3008     }
3009     senc = OPENSSL_malloc(slen_full);
3010     if (senc == NULL) {
3011         ossl_statem_set_error(s);
3012         return 0;
3013     }
3014
3015     ctx = EVP_CIPHER_CTX_new();
3016     hctx = HMAC_CTX_new();
3017
3018     p = senc;
3019     if (!i2d_SSL_SESSION(s->session, &p))
3020         goto err;
3021
3022     /*
3023      * create a fresh copy (not shared with other threads) to clean up
3024      */
3025     const_p = senc;
3026     sess = d2i_SSL_SESSION(NULL, &const_p, slen_full);
3027     if (sess == NULL)
3028         goto err;
3029     sess->session_id_length = 0; /* ID is irrelevant for the ticket */
3030
3031     slen = i2d_SSL_SESSION(sess, NULL);
3032     if (slen == 0 || slen > slen_full) { /* shouldn't ever happen */
3033         SSL_SESSION_free(sess);
3034         goto err;
3035     }
3036     p = senc;
3037     if (!i2d_SSL_SESSION(sess, &p)) {
3038         SSL_SESSION_free(sess);
3039         goto err;
3040     }
3041     SSL_SESSION_free(sess);
3042
3043     /*-
3044      * Grow buffer if need be: the length calculation is as
3045      * follows handshake_header_length +
3046      * 4 (ticket lifetime hint) + 2 (ticket length) +
3047      * sizeof(keyname) + max_iv_len (iv length) +
3048      * max_enc_block_size (max encrypted session * length) +
3049      * max_md_size (HMAC) + session_length.
3050      */
3051     if (!BUF_MEM_grow(s->init_buf,
3052                       SSL_HM_HEADER_LENGTH(s) + 6 + sizeof(key_name) +
3053                       EVP_MAX_IV_LENGTH + EVP_MAX_BLOCK_LENGTH +
3054                       EVP_MAX_MD_SIZE + slen))
3055         goto err;
3056
3057     p = ssl_handshake_start(s);
3058     /*
3059      * Initialize HMAC and cipher contexts. If callback present it does
3060      * all the work otherwise use generated values from parent ctx.
3061      */
3062     if (tctx->tlsext_ticket_key_cb) {
3063         /* if 0 is returned, write an empty ticket */
3064         int ret = tctx->tlsext_ticket_key_cb(s, key_name, iv, ctx,
3065                                              hctx, 1);
3066
3067         if (ret == 0) {
3068             l2n(0, p); /* timeout */
3069             s2n(0, p); /* length */
3070             if (!ssl_set_handshake_header(s, SSL3_MT_NEWSESSION_TICKET, p - ssl_handshake_start(s)))
3071                 goto err;
3072             OPENSSL_free(senc);
3073             EVP_CIPHER_CTX_free(ctx);
3074             HMAC_CTX_free(hctx);
3075             return 1;
3076         }
3077         if (ret < 0)
3078             goto err;
3079         iv_len = EVP_CIPHER_CTX_iv_length(ctx);
3080     } else {
3081         const EVP_CIPHER *cipher = EVP_aes_256_cbc();
3082
3083         iv_len = EVP_CIPHER_iv_length(cipher);
3084         if (RAND_bytes(iv, iv_len) <= 0)
3085             goto err;
3086         if (!EVP_EncryptInit_ex(ctx, cipher, NULL,
3087                                 tctx->tlsext_tick_aes_key, iv))
3088             goto err;
3089         if (!HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3090                           sizeof(tctx->tlsext_tick_hmac_key),
3091                           EVP_sha256(), NULL))
3092             goto err;
3093         memcpy(key_name, tctx->tlsext_tick_key_name,
3094                sizeof(tctx->tlsext_tick_key_name));
3095     }
3096
3097     /*
3098      * Ticket lifetime hint (advisory only): We leave this unspecified
3099      * for resumed session (for simplicity), and guess that tickets for
3100      * new sessions will live as long as their sessions.
3101      */
3102     l2n(s->hit ? 0 : s->session->timeout, p);
3103
3104     /* Skip ticket length for now */
3105     p += 2;
3106     /* Output key name */
3107     macstart = p;
3108     memcpy(p, key_name, sizeof(key_name));
3109     p += sizeof(key_name);
3110     /* output IV */
3111     memcpy(p, iv, iv_len);
3112     p += iv_len;
3113     /* Encrypt session data */
3114     if (!EVP_EncryptUpdate(ctx, p, &len, senc, slen))
3115         goto err;
3116     p += len;
3117     if (!EVP_EncryptFinal(ctx, p, &len))
3118         goto err;
3119     p += len;
3120
3121     if (!HMAC_Update(hctx, macstart, p - macstart))
3122         goto err;
3123     if (!HMAC_Final(hctx, p, &hlen))
3124         goto err;
3125
3126     EVP_CIPHER_CTX_free(ctx);
3127     HMAC_CTX_free(hctx);
3128     ctx = NULL;
3129     hctx = NULL;
3130
3131     p += hlen;
3132     /* Now write out lengths: p points to end of data written */
3133     /* Total length */
3134     len = p - ssl_handshake_start(s);
3135     /* Skip ticket lifetime hint */
3136     p = ssl_handshake_start(s) + 4;
3137     s2n(len - 6, p);
3138     if (!ssl_set_handshake_header(s, SSL3_MT_NEWSESSION_TICKET, len))
3139         goto err;
3140     OPENSSL_free(senc);
3141
3142     return 1;
3143  err:
3144     OPENSSL_free(senc);
3145     EVP_CIPHER_CTX_free(ctx);
3146     HMAC_CTX_free(hctx);
3147     ossl_statem_set_error(s);
3148     return 0;
3149 }
3150
3151 int tls_construct_cert_status(SSL *s)
3152 {
3153     unsigned char *p;
3154     /*-
3155      * Grow buffer if need be: the length calculation is as
3156      * follows 1 (message type) + 3 (message length) +
3157      * 1 (ocsp response type) + 3 (ocsp response length)
3158      * + (ocsp response)
3159      */
3160     if (!BUF_MEM_grow(s->init_buf, 8 + s->tlsext_ocsp_resplen)) {
3161         ossl_statem_set_error(s);
3162         return 0;
3163     }
3164
3165     p = (unsigned char *)s->init_buf->data;
3166
3167     /* do the header */
3168     *(p++) = SSL3_MT_CERTIFICATE_STATUS;
3169     /* message length */
3170     l2n3(s->tlsext_ocsp_resplen + 4, p);
3171     /* status type */
3172     *(p++) = s->tlsext_status_type;
3173     /* length of OCSP response */
3174     l2n3(s->tlsext_ocsp_resplen, p);
3175     /* actual response */
3176     memcpy(p, s->tlsext_ocsp_resp, s->tlsext_ocsp_resplen);
3177     /* number of bytes to write */
3178     s->init_num = 8 + s->tlsext_ocsp_resplen;
3179     s->init_off = 0;
3180
3181     return 1;
3182 }
3183
3184 #ifndef OPENSSL_NO_NEXTPROTONEG
3185 /*
3186  * tls_process_next_proto reads a Next Protocol Negotiation handshake message.
3187  * It sets the next_proto member in s if found
3188  */
3189 MSG_PROCESS_RETURN tls_process_next_proto(SSL *s, PACKET *pkt)
3190 {
3191     PACKET next_proto, padding;
3192     size_t next_proto_len;
3193
3194     /*-
3195      * The payload looks like:
3196      *   uint8 proto_len;
3197      *   uint8 proto[proto_len];
3198      *   uint8 padding_len;
3199      *   uint8 padding[padding_len];
3200      */
3201     if (!PACKET_get_length_prefixed_1(pkt, &next_proto)
3202         || !PACKET_get_length_prefixed_1(pkt, &padding)
3203         || PACKET_remaining(pkt) > 0) {
3204         SSLerr(SSL_F_TLS_PROCESS_NEXT_PROTO, SSL_R_LENGTH_MISMATCH);
3205         goto err;
3206     }
3207
3208     if (!PACKET_memdup(&next_proto, &s->next_proto_negotiated,
3209                        &next_proto_len)) {
3210         s->next_proto_negotiated_len = 0;
3211         goto err;
3212     }
3213
3214     s->next_proto_negotiated_len = (unsigned char)next_proto_len;
3215
3216     return MSG_PROCESS_CONTINUE_READING;
3217 err:
3218     ossl_statem_set_error(s);
3219     return MSG_PROCESS_ERROR;
3220 }
3221 #endif
3222
3223 #define SSLV2_CIPHER_LEN    3
3224
3225 STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
3226                                                PACKET *cipher_suites,
3227                                                STACK_OF(SSL_CIPHER) **skp,
3228                                                int sslv2format, int *al
3229                                                )
3230 {
3231     const SSL_CIPHER *c;
3232     STACK_OF(SSL_CIPHER) *sk;
3233     int n;
3234     /* 3 = SSLV2_CIPHER_LEN > TLS_CIPHER_LEN = 2. */
3235     unsigned char cipher[SSLV2_CIPHER_LEN];
3236
3237     s->s3->send_connection_binding = 0;
3238
3239     n = sslv2format ? SSLV2_CIPHER_LEN : TLS_CIPHER_LEN;
3240
3241     if (PACKET_remaining(cipher_suites) == 0) {
3242         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, SSL_R_NO_CIPHERS_SPECIFIED);
3243         *al = SSL_AD_ILLEGAL_PARAMETER;
3244         return NULL;
3245     }
3246
3247     if (PACKET_remaining(cipher_suites) % n != 0) {
3248         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3249                SSL_R_ERROR_IN_RECEIVED_CIPHER_LIST);
3250         *al = SSL_AD_DECODE_ERROR;
3251         return NULL;
3252     }
3253
3254     if ((skp == NULL) || (*skp == NULL)) {
3255         sk = sk_SSL_CIPHER_new_null(); /* change perhaps later */
3256         if (sk == NULL) {
3257             SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3258             *al = SSL_AD_INTERNAL_ERROR;
3259             return NULL;
3260         }
3261     } else {
3262         sk = *skp;
3263         sk_SSL_CIPHER_zero(sk);
3264     }
3265
3266     if (!PACKET_memdup(cipher_suites, &s->s3->tmp.ciphers_raw,
3267                        &s->s3->tmp.ciphers_rawlen)) {
3268         *al = SSL_AD_INTERNAL_ERROR;
3269         goto err;
3270     }
3271
3272     while (PACKET_copy_bytes(cipher_suites, cipher, n)) {
3273         /*
3274          * SSLv3 ciphers wrapped in an SSLv2-compatible ClientHello have the
3275          * first byte set to zero, while true SSLv2 ciphers have a non-zero
3276          * first byte. We don't support any true SSLv2 ciphers, so skip them.
3277          */
3278         if (sslv2format && cipher[0] != '\0')
3279                 continue;
3280
3281         /* Check for TLS_EMPTY_RENEGOTIATION_INFO_SCSV */
3282         if ((cipher[n - 2] == ((SSL3_CK_SCSV >> 8) & 0xff)) &&
3283             (cipher[n - 1] == (SSL3_CK_SCSV & 0xff))) {
3284             /* SCSV fatal if renegotiating */
3285             if (s->renegotiate) {
3286                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3287                        SSL_R_SCSV_RECEIVED_WHEN_RENEGOTIATING);
3288                 *al = SSL_AD_HANDSHAKE_FAILURE;
3289                 goto err;
3290             }
3291             s->s3->send_connection_binding = 1;
3292             continue;
3293         }
3294
3295         /* Check for TLS_FALLBACK_SCSV */
3296         if ((cipher[n - 2] == ((SSL3_CK_FALLBACK_SCSV >> 8) & 0xff)) &&
3297             (cipher[n - 1] == (SSL3_CK_FALLBACK_SCSV & 0xff))) {
3298             /*
3299              * The SCSV indicates that the client previously tried a higher
3300              * version. Fail if the current version is an unexpected
3301              * downgrade.
3302              */
3303             if (!ssl_check_version_downgrade(s)) {
3304                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3305                        SSL_R_INAPPROPRIATE_FALLBACK);
3306                 *al = SSL_AD_INAPPROPRIATE_FALLBACK;
3307                 goto err;
3308             }
3309             continue;
3310         }
3311
3312         /* For SSLv2-compat, ignore leading 0-byte. */
3313         c = ssl_get_cipher_by_char(s, sslv2format ? &cipher[1] : cipher);
3314         if (c != NULL) {
3315             if (!sk_SSL_CIPHER_push(sk, c)) {
3316                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3317                 *al = SSL_AD_INTERNAL_ERROR;
3318                 goto err;
3319             }
3320         }
3321     }
3322     if (PACKET_remaining(cipher_suites) > 0) {
3323         *al = SSL_AD_INTERNAL_ERROR;
3324         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_INTERNAL_ERROR);
3325         goto err;
3326     }
3327
3328     if (skp != NULL)
3329         *skp = sk;
3330     return (sk);
3331  err:
3332     if ((skp == NULL) || (*skp == NULL))
3333         sk_SSL_CIPHER_free(sk);
3334     return NULL;
3335 }