Add SSL_CTX_set_tmp_ecdh.pod
[openssl.git] / ssl / tls13_enc.c
1 /*
2  * Copyright 2016-2018 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdlib.h>
11 #include "ssl_locl.h"
12 #include "internal/cryptlib.h"
13 #include <openssl/evp.h>
14 #include <openssl/kdf.h>
15
16 /*
17  * RFC 8446, 7.1 Key Schedule, says:
18  * Note: With common hash functions, any label longer than 12 characters
19  * requires an additional iteration of the hash function to compute.
20  * The labels in this specification have all been chosen to fit within
21  * this limit.
22  */
23 #define TLS13_MAX_LABEL_LEN     12
24
25 /* Always filled with zeros */
26 static const unsigned char default_zeros[EVP_MAX_MD_SIZE];
27
28 /*
29  * Given a |secret|; a |label| of length |labellen|; and |data| of length
30  * |datalen| (e.g. typically a hash of the handshake messages), derive a new
31  * secret |outlen| bytes long and store it in the location pointed to be |out|.
32  * The |data| value may be zero length. Returns 1 on success  0 on failure.
33  */
34 int tls13_hkdf_expand(SSL *s, const EVP_MD *md, const unsigned char *secret,
35                              const unsigned char *label, size_t labellen,
36                              const unsigned char *data, size_t datalen,
37                              unsigned char *out, size_t outlen)
38 {
39     static const unsigned char label_prefix[] = "tls13 ";
40     EVP_PKEY_CTX *pctx = EVP_PKEY_CTX_new_id(EVP_PKEY_HKDF, NULL);
41     int ret;
42     size_t hkdflabellen;
43     size_t hashlen;
44     /*
45      * 2 bytes for length of derived secret + 1 byte for length of combined
46      * prefix and label + bytes for the label itself + 1 byte length of hash
47      * + bytes for the hash itself
48      */
49     unsigned char hkdflabel[sizeof(uint16_t) + sizeof(uint8_t) +
50                             + sizeof(label_prefix) + TLS13_MAX_LABEL_LEN
51                             + EVP_MAX_MD_SIZE];
52     WPACKET pkt;
53
54     if (pctx == NULL)
55         return 0;
56
57     hashlen = EVP_MD_size(md);
58
59     if (!WPACKET_init_static_len(&pkt, hkdflabel, sizeof(hkdflabel), 0)
60             || !WPACKET_put_bytes_u16(&pkt, outlen)
61             || !WPACKET_start_sub_packet_u8(&pkt)
62             || !WPACKET_memcpy(&pkt, label_prefix, sizeof(label_prefix) - 1)
63             || !WPACKET_memcpy(&pkt, label, labellen)
64             || !WPACKET_close(&pkt)
65             || !WPACKET_sub_memcpy_u8(&pkt, data, (data == NULL) ? 0 : datalen)
66             || !WPACKET_get_total_written(&pkt, &hkdflabellen)
67             || !WPACKET_finish(&pkt)) {
68         EVP_PKEY_CTX_free(pctx);
69         WPACKET_cleanup(&pkt);
70         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS13_HKDF_EXPAND,
71                  ERR_R_INTERNAL_ERROR);
72         return 0;
73     }
74
75     ret = EVP_PKEY_derive_init(pctx) <= 0
76             || EVP_PKEY_CTX_hkdf_mode(pctx, EVP_PKEY_HKDEF_MODE_EXPAND_ONLY)
77                <= 0
78             || EVP_PKEY_CTX_set_hkdf_md(pctx, md) <= 0
79             || EVP_PKEY_CTX_set1_hkdf_key(pctx, secret, hashlen) <= 0
80             || EVP_PKEY_CTX_add1_hkdf_info(pctx, hkdflabel, hkdflabellen) <= 0
81             || EVP_PKEY_derive(pctx, out, &outlen) <= 0;
82
83     EVP_PKEY_CTX_free(pctx);
84
85     if (ret != 0)
86         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS13_HKDF_EXPAND,
87                  ERR_R_INTERNAL_ERROR);
88
89     return ret == 0;
90 }
91
92 /*
93  * Given a |secret| generate a |key| of length |keylen| bytes. Returns 1 on
94  * success  0 on failure.
95  */
96 int tls13_derive_key(SSL *s, const EVP_MD *md, const unsigned char *secret,
97                      unsigned char *key, size_t keylen)
98 {
99     static const unsigned char keylabel[] = "key";
100
101     return tls13_hkdf_expand(s, md, secret, keylabel, sizeof(keylabel) - 1,
102                              NULL, 0, key, keylen);
103 }
104
105 /*
106  * Given a |secret| generate an |iv| of length |ivlen| bytes. Returns 1 on
107  * success  0 on failure.
108  */
109 int tls13_derive_iv(SSL *s, const EVP_MD *md, const unsigned char *secret,
110                     unsigned char *iv, size_t ivlen)
111 {
112     static const unsigned char ivlabel[] = "iv";
113
114     return tls13_hkdf_expand(s, md, secret, ivlabel, sizeof(ivlabel) - 1,
115                              NULL, 0, iv, ivlen);
116 }
117
118 int tls13_derive_finishedkey(SSL *s, const EVP_MD *md,
119                              const unsigned char *secret,
120                              unsigned char *fin, size_t finlen)
121 {
122     static const unsigned char finishedlabel[] = "finished";
123
124     return tls13_hkdf_expand(s, md, secret, finishedlabel,
125                              sizeof(finishedlabel) - 1, NULL, 0, fin, finlen);
126 }
127
128 /*
129  * Given the previous secret |prevsecret| and a new input secret |insecret| of
130  * length |insecretlen|, generate a new secret and store it in the location
131  * pointed to by |outsecret|. Returns 1 on success  0 on failure.
132  */
133 int tls13_generate_secret(SSL *s, const EVP_MD *md,
134                           const unsigned char *prevsecret,
135                           const unsigned char *insecret,
136                           size_t insecretlen,
137                           unsigned char *outsecret)
138 {
139     size_t mdlen, prevsecretlen;
140     int mdleni;
141     int ret;
142     EVP_PKEY_CTX *pctx = EVP_PKEY_CTX_new_id(EVP_PKEY_HKDF, NULL);
143     static const char derived_secret_label[] = "derived";
144     unsigned char preextractsec[EVP_MAX_MD_SIZE];
145
146     if (pctx == NULL) {
147         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS13_GENERATE_SECRET,
148                  ERR_R_INTERNAL_ERROR);
149         return 0;
150     }
151
152     mdleni = EVP_MD_size(md);
153     /* Ensure cast to size_t is safe */
154     if (!ossl_assert(mdleni >= 0)) {
155         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS13_GENERATE_SECRET,
156                  ERR_R_INTERNAL_ERROR);
157         return 0;
158     }
159     mdlen = (size_t)mdleni;
160
161     if (insecret == NULL) {
162         insecret = default_zeros;
163         insecretlen = mdlen;
164     }
165     if (prevsecret == NULL) {
166         prevsecret = default_zeros;
167         prevsecretlen = 0;
168     } else {
169         EVP_MD_CTX *mctx = EVP_MD_CTX_new();
170         unsigned char hash[EVP_MAX_MD_SIZE];
171
172         /* The pre-extract derive step uses a hash of no messages */
173         if (mctx == NULL
174                 || EVP_DigestInit_ex(mctx, md, NULL) <= 0
175                 || EVP_DigestFinal_ex(mctx, hash, NULL) <= 0) {
176             SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS13_GENERATE_SECRET,
177                      ERR_R_INTERNAL_ERROR);
178             EVP_MD_CTX_free(mctx);
179             EVP_PKEY_CTX_free(pctx);
180             return 0;
181         }
182         EVP_MD_CTX_free(mctx);
183
184         /* Generate the pre-extract secret */
185         if (!tls13_hkdf_expand(s, md, prevsecret,
186                                (unsigned char *)derived_secret_label,
187                                sizeof(derived_secret_label) - 1, hash, mdlen,
188                                preextractsec, mdlen)) {
189             /* SSLfatal() already called */
190             EVP_PKEY_CTX_free(pctx);
191             return 0;
192         }
193
194         prevsecret = preextractsec;
195         prevsecretlen = mdlen;
196     }
197
198     ret = EVP_PKEY_derive_init(pctx) <= 0
199             || EVP_PKEY_CTX_hkdf_mode(pctx, EVP_PKEY_HKDEF_MODE_EXTRACT_ONLY)
200                <= 0
201             || EVP_PKEY_CTX_set_hkdf_md(pctx, md) <= 0
202             || EVP_PKEY_CTX_set1_hkdf_key(pctx, insecret, insecretlen) <= 0
203             || EVP_PKEY_CTX_set1_hkdf_salt(pctx, prevsecret, prevsecretlen)
204                <= 0
205             || EVP_PKEY_derive(pctx, outsecret, &mdlen)
206                <= 0;
207
208     if (ret != 0)
209         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS13_GENERATE_SECRET,
210                  ERR_R_INTERNAL_ERROR);
211
212     EVP_PKEY_CTX_free(pctx);
213     if (prevsecret == preextractsec)
214         OPENSSL_cleanse(preextractsec, mdlen);
215     return ret == 0;
216 }
217
218 /*
219  * Given an input secret |insecret| of length |insecretlen| generate the
220  * handshake secret. This requires the early secret to already have been
221  * generated. Returns 1 on success  0 on failure.
222  */
223 int tls13_generate_handshake_secret(SSL *s, const unsigned char *insecret,
224                                 size_t insecretlen)
225 {
226     /* Calls SSLfatal() if required */
227     return tls13_generate_secret(s, ssl_handshake_md(s), s->early_secret,
228                                  insecret, insecretlen,
229                                  (unsigned char *)&s->handshake_secret);
230 }
231
232 /*
233  * Given the handshake secret |prev| of length |prevlen| generate the master
234  * secret and store its length in |*secret_size|. Returns 1 on success  0 on
235  * failure.
236  */
237 int tls13_generate_master_secret(SSL *s, unsigned char *out,
238                                  unsigned char *prev, size_t prevlen,
239                                  size_t *secret_size)
240 {
241     const EVP_MD *md = ssl_handshake_md(s);
242
243     *secret_size = EVP_MD_size(md);
244     /* Calls SSLfatal() if required */
245     return tls13_generate_secret(s, md, prev, NULL, 0, out);
246 }
247
248 /*
249  * Generates the mac for the Finished message. Returns the length of the MAC or
250  * 0 on error.
251  */
252 size_t tls13_final_finish_mac(SSL *s, const char *str, size_t slen,
253                              unsigned char *out)
254 {
255     const EVP_MD *md = ssl_handshake_md(s);
256     unsigned char hash[EVP_MAX_MD_SIZE];
257     size_t hashlen, ret = 0;
258     EVP_PKEY *key = NULL;
259     EVP_MD_CTX *ctx = EVP_MD_CTX_new();
260
261     if (!ssl_handshake_hash(s, hash, sizeof(hash), &hashlen)) {
262         /* SSLfatal() already called */
263         goto err;
264     }
265
266     if (str == s->method->ssl3_enc->server_finished_label) {
267         key = EVP_PKEY_new_raw_private_key(EVP_PKEY_HMAC, NULL,
268                                            s->server_finished_secret, hashlen);
269     } else if (SSL_IS_FIRST_HANDSHAKE(s)) {
270         key = EVP_PKEY_new_raw_private_key(EVP_PKEY_HMAC, NULL,
271                                            s->client_finished_secret, hashlen);
272     } else {
273         unsigned char finsecret[EVP_MAX_MD_SIZE];
274
275         if (!tls13_derive_finishedkey(s, ssl_handshake_md(s),
276                                       s->client_app_traffic_secret,
277                                       finsecret, hashlen))
278             goto err;
279
280         key = EVP_PKEY_new_raw_private_key(EVP_PKEY_HMAC, NULL, finsecret,
281                                            hashlen);
282         OPENSSL_cleanse(finsecret, sizeof(finsecret));
283     }
284
285     if (key == NULL
286             || ctx == NULL
287             || EVP_DigestSignInit(ctx, NULL, md, NULL, key) <= 0
288             || EVP_DigestSignUpdate(ctx, hash, hashlen) <= 0
289             || EVP_DigestSignFinal(ctx, out, &hashlen) <= 0) {
290         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS13_FINAL_FINISH_MAC,
291                  ERR_R_INTERNAL_ERROR);
292         goto err;
293     }
294
295     ret = hashlen;
296  err:
297     EVP_PKEY_free(key);
298     EVP_MD_CTX_free(ctx);
299     return ret;
300 }
301
302 /*
303  * There isn't really a key block in TLSv1.3, but we still need this function
304  * for initialising the cipher and hash. Returns 1 on success or 0 on failure.
305  */
306 int tls13_setup_key_block(SSL *s)
307 {
308     const EVP_CIPHER *c;
309     const EVP_MD *hash;
310     int mac_type = NID_undef;
311
312     s->session->cipher = s->s3->tmp.new_cipher;
313     if (!ssl_cipher_get_evp
314         (s->session, &c, &hash, &mac_type, NULL, NULL, 0)) {
315         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS13_SETUP_KEY_BLOCK,
316                  SSL_R_CIPHER_OR_HASH_UNAVAILABLE);
317         return 0;
318     }
319
320     s->s3->tmp.new_sym_enc = c;
321     s->s3->tmp.new_hash = hash;
322
323     return 1;
324 }
325
326 static int derive_secret_key_and_iv(SSL *s, int sending, const EVP_MD *md,
327                                     const EVP_CIPHER *ciph,
328                                     const unsigned char *insecret,
329                                     const unsigned char *hash,
330                                     const unsigned char *label,
331                                     size_t labellen, unsigned char *secret,
332                                     unsigned char *iv, EVP_CIPHER_CTX *ciph_ctx)
333 {
334     unsigned char key[EVP_MAX_KEY_LENGTH];
335     size_t ivlen, keylen, taglen;
336     int hashleni = EVP_MD_size(md);
337     size_t hashlen;
338
339     /* Ensure cast to size_t is safe */
340     if (!ossl_assert(hashleni >= 0)) {
341         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_DERIVE_SECRET_KEY_AND_IV,
342                  ERR_R_EVP_LIB);
343         goto err;
344     }
345     hashlen = (size_t)hashleni;
346
347     if (!tls13_hkdf_expand(s, md, insecret, label, labellen, hash, hashlen,
348                            secret, hashlen)) {
349         /* SSLfatal() already called */
350         goto err;
351     }
352
353     /* TODO(size_t): convert me */
354     keylen = EVP_CIPHER_key_length(ciph);
355     if (EVP_CIPHER_mode(ciph) == EVP_CIPH_CCM_MODE) {
356         uint32_t algenc;
357
358         ivlen = EVP_CCM_TLS_IV_LEN;
359         if (s->s3->tmp.new_cipher == NULL) {
360             /* We've not selected a cipher yet - we must be doing early data */
361             algenc = s->session->cipher->algorithm_enc;
362         } else {
363             algenc = s->s3->tmp.new_cipher->algorithm_enc;
364         }
365         if (algenc & (SSL_AES128CCM8 | SSL_AES256CCM8))
366             taglen = EVP_CCM8_TLS_TAG_LEN;
367          else
368             taglen = EVP_CCM_TLS_TAG_LEN;
369     } else {
370         ivlen = EVP_CIPHER_iv_length(ciph);
371         taglen = 0;
372     }
373
374     if (!tls13_derive_key(s, md, secret, key, keylen)
375             || !tls13_derive_iv(s, md, secret, iv, ivlen)) {
376         /* SSLfatal() already called */
377         goto err;
378     }
379
380     if (EVP_CipherInit_ex(ciph_ctx, ciph, NULL, NULL, NULL, sending) <= 0
381         || !EVP_CIPHER_CTX_ctrl(ciph_ctx, EVP_CTRL_AEAD_SET_IVLEN, ivlen, NULL)
382         || (taglen != 0 && !EVP_CIPHER_CTX_ctrl(ciph_ctx, EVP_CTRL_AEAD_SET_TAG,
383                                                 taglen, NULL))
384         || EVP_CipherInit_ex(ciph_ctx, NULL, NULL, key, NULL, -1) <= 0) {
385         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_DERIVE_SECRET_KEY_AND_IV,
386                  ERR_R_EVP_LIB);
387         goto err;
388     }
389
390     return 1;
391  err:
392     OPENSSL_cleanse(key, sizeof(key));
393     return 0;
394 }
395
396 int tls13_change_cipher_state(SSL *s, int which)
397 {
398     static const unsigned char client_early_traffic[] = "c e traffic";
399     static const unsigned char client_handshake_traffic[] = "c hs traffic";
400     static const unsigned char client_application_traffic[] = "c ap traffic";
401     static const unsigned char server_handshake_traffic[] = "s hs traffic";
402     static const unsigned char server_application_traffic[] = "s ap traffic";
403     static const unsigned char exporter_master_secret[] = "exp master";
404     static const unsigned char resumption_master_secret[] = "res master";
405     static const unsigned char early_exporter_master_secret[] = "e exp master";
406     unsigned char *iv;
407     unsigned char secret[EVP_MAX_MD_SIZE];
408     unsigned char hashval[EVP_MAX_MD_SIZE];
409     unsigned char *hash = hashval;
410     unsigned char *insecret;
411     unsigned char *finsecret = NULL;
412     const char *log_label = NULL;
413     EVP_CIPHER_CTX *ciph_ctx;
414     size_t finsecretlen = 0;
415     const unsigned char *label;
416     size_t labellen, hashlen = 0;
417     int ret = 0;
418     const EVP_MD *md = NULL;
419     const EVP_CIPHER *cipher = NULL;
420
421     if (which & SSL3_CC_READ) {
422         if (s->enc_read_ctx != NULL) {
423             EVP_CIPHER_CTX_reset(s->enc_read_ctx);
424         } else {
425             s->enc_read_ctx = EVP_CIPHER_CTX_new();
426             if (s->enc_read_ctx == NULL) {
427                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
428                          SSL_F_TLS13_CHANGE_CIPHER_STATE, ERR_R_MALLOC_FAILURE);
429                 goto err;
430             }
431         }
432         ciph_ctx = s->enc_read_ctx;
433         iv = s->read_iv;
434
435         RECORD_LAYER_reset_read_sequence(&s->rlayer);
436     } else {
437         s->statem.enc_write_state = ENC_WRITE_STATE_INVALID;
438         if (s->enc_write_ctx != NULL) {
439             EVP_CIPHER_CTX_reset(s->enc_write_ctx);
440         } else {
441             s->enc_write_ctx = EVP_CIPHER_CTX_new();
442             if (s->enc_write_ctx == NULL) {
443                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
444                          SSL_F_TLS13_CHANGE_CIPHER_STATE, ERR_R_MALLOC_FAILURE);
445                 goto err;
446             }
447         }
448         ciph_ctx = s->enc_write_ctx;
449         iv = s->write_iv;
450
451         RECORD_LAYER_reset_write_sequence(&s->rlayer);
452     }
453
454     if (((which & SSL3_CC_CLIENT) && (which & SSL3_CC_WRITE))
455             || ((which & SSL3_CC_SERVER) && (which & SSL3_CC_READ))) {
456         if (which & SSL3_CC_EARLY) {
457             EVP_MD_CTX *mdctx = NULL;
458             long handlen;
459             void *hdata;
460             unsigned int hashlenui;
461             const SSL_CIPHER *sslcipher = SSL_SESSION_get0_cipher(s->session);
462
463             insecret = s->early_secret;
464             label = client_early_traffic;
465             labellen = sizeof(client_early_traffic) - 1;
466             log_label = CLIENT_EARLY_LABEL;
467
468             handlen = BIO_get_mem_data(s->s3->handshake_buffer, &hdata);
469             if (handlen <= 0) {
470                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
471                          SSL_F_TLS13_CHANGE_CIPHER_STATE,
472                          SSL_R_BAD_HANDSHAKE_LENGTH);
473                 goto err;
474             }
475
476             if (s->early_data_state == SSL_EARLY_DATA_CONNECTING
477                     && s->max_early_data > 0
478                     && s->session->ext.max_early_data == 0) {
479                 /*
480                  * If we are attempting to send early data, and we've decided to
481                  * actually do it but max_early_data in s->session is 0 then we
482                  * must be using an external PSK.
483                  */
484                 if (!ossl_assert(s->psksession != NULL
485                         && s->max_early_data ==
486                            s->psksession->ext.max_early_data)) {
487                     SSLfatal(s, SSL_AD_INTERNAL_ERROR,
488                              SSL_F_TLS13_CHANGE_CIPHER_STATE,
489                              ERR_R_INTERNAL_ERROR);
490                     goto err;
491                 }
492                 sslcipher = SSL_SESSION_get0_cipher(s->psksession);
493             }
494             if (sslcipher == NULL) {
495                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
496                          SSL_F_TLS13_CHANGE_CIPHER_STATE, SSL_R_BAD_PSK);
497                 goto err;
498             }
499
500             /*
501              * We need to calculate the handshake digest using the digest from
502              * the session. We haven't yet selected our ciphersuite so we can't
503              * use ssl_handshake_md().
504              */
505             mdctx = EVP_MD_CTX_new();
506             if (mdctx == NULL) {
507                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
508                          SSL_F_TLS13_CHANGE_CIPHER_STATE, ERR_R_MALLOC_FAILURE);
509                 goto err;
510             }
511             cipher = EVP_get_cipherbynid(SSL_CIPHER_get_cipher_nid(sslcipher));
512             md = ssl_md(sslcipher->algorithm2);
513             if (md == NULL || !EVP_DigestInit_ex(mdctx, md, NULL)
514                     || !EVP_DigestUpdate(mdctx, hdata, handlen)
515                     || !EVP_DigestFinal_ex(mdctx, hashval, &hashlenui)) {
516                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
517                          SSL_F_TLS13_CHANGE_CIPHER_STATE, ERR_R_INTERNAL_ERROR);
518                 EVP_MD_CTX_free(mdctx);
519                 goto err;
520             }
521             hashlen = hashlenui;
522             EVP_MD_CTX_free(mdctx);
523
524             if (!tls13_hkdf_expand(s, md, insecret,
525                                    early_exporter_master_secret,
526                                    sizeof(early_exporter_master_secret) - 1,
527                                    hashval, hashlen,
528                                    s->early_exporter_master_secret, hashlen)) {
529                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
530                          SSL_F_TLS13_CHANGE_CIPHER_STATE, ERR_R_INTERNAL_ERROR);
531                 goto err;
532             }
533
534             if (!ssl_log_secret(s, EARLY_EXPORTER_SECRET_LABEL,
535                                 s->early_exporter_master_secret, hashlen)) {
536                 /* SSLfatal() already called */
537                 goto err;
538             }
539         } else if (which & SSL3_CC_HANDSHAKE) {
540             insecret = s->handshake_secret;
541             finsecret = s->client_finished_secret;
542             finsecretlen = EVP_MD_size(ssl_handshake_md(s));
543             label = client_handshake_traffic;
544             labellen = sizeof(client_handshake_traffic) - 1;
545             log_label = CLIENT_HANDSHAKE_LABEL;
546             /*
547              * The handshake hash used for the server read/client write handshake
548              * traffic secret is the same as the hash for the server
549              * write/client read handshake traffic secret. However, if we
550              * processed early data then we delay changing the server
551              * read/client write cipher state until later, and the handshake
552              * hashes have moved on. Therefore we use the value saved earlier
553              * when we did the server write/client read change cipher state.
554              */
555             hash = s->handshake_traffic_hash;
556         } else {
557             insecret = s->master_secret;
558             label = client_application_traffic;
559             labellen = sizeof(client_application_traffic) - 1;
560             log_label = CLIENT_APPLICATION_LABEL;
561             /*
562              * For this we only use the handshake hashes up until the server
563              * Finished hash. We do not include the client's Finished, which is
564              * what ssl_handshake_hash() would give us. Instead we use the
565              * previously saved value.
566              */
567             hash = s->server_finished_hash;
568         }
569     } else {
570         /* Early data never applies to client-read/server-write */
571         if (which & SSL3_CC_HANDSHAKE) {
572             insecret = s->handshake_secret;
573             finsecret = s->server_finished_secret;
574             finsecretlen = EVP_MD_size(ssl_handshake_md(s));
575             label = server_handshake_traffic;
576             labellen = sizeof(server_handshake_traffic) - 1;
577             log_label = SERVER_HANDSHAKE_LABEL;
578         } else {
579             insecret = s->master_secret;
580             label = server_application_traffic;
581             labellen = sizeof(server_application_traffic) - 1;
582             log_label = SERVER_APPLICATION_LABEL;
583         }
584     }
585
586     if (!(which & SSL3_CC_EARLY)) {
587         md = ssl_handshake_md(s);
588         cipher = s->s3->tmp.new_sym_enc;
589         if (!ssl3_digest_cached_records(s, 1)
590                 || !ssl_handshake_hash(s, hashval, sizeof(hashval), &hashlen)) {
591             /* SSLfatal() already called */;
592             goto err;
593         }
594     }
595
596     /*
597      * Save the hash of handshakes up to now for use when we calculate the
598      * client application traffic secret
599      */
600     if (label == server_application_traffic)
601         memcpy(s->server_finished_hash, hashval, hashlen);
602
603     if (label == server_handshake_traffic)
604         memcpy(s->handshake_traffic_hash, hashval, hashlen);
605
606     if (label == client_application_traffic) {
607         /*
608          * We also create the resumption master secret, but this time use the
609          * hash for the whole handshake including the Client Finished
610          */
611         if (!tls13_hkdf_expand(s, ssl_handshake_md(s), insecret,
612                                resumption_master_secret,
613                                sizeof(resumption_master_secret) - 1,
614                                hashval, hashlen, s->resumption_master_secret,
615                                hashlen)) {
616             /* SSLfatal() already called */
617             goto err;
618         }
619     }
620
621     if (!derive_secret_key_and_iv(s, which & SSL3_CC_WRITE, md, cipher,
622                                   insecret, hash, label, labellen, secret, iv,
623                                   ciph_ctx)) {
624         /* SSLfatal() already called */
625         goto err;
626     }
627
628     if (label == server_application_traffic) {
629         memcpy(s->server_app_traffic_secret, secret, hashlen);
630         /* Now we create the exporter master secret */
631         if (!tls13_hkdf_expand(s, ssl_handshake_md(s), insecret,
632                                exporter_master_secret,
633                                sizeof(exporter_master_secret) - 1,
634                                hash, hashlen, s->exporter_master_secret,
635                                hashlen)) {
636             /* SSLfatal() already called */
637             goto err;
638         }
639
640         if (!ssl_log_secret(s, EXPORTER_SECRET_LABEL, s->exporter_master_secret,
641                             hashlen)) {
642             /* SSLfatal() already called */
643             goto err;
644         }
645     } else if (label == client_application_traffic)
646         memcpy(s->client_app_traffic_secret, secret, hashlen);
647
648     if (!ssl_log_secret(s, log_label, secret, hashlen)) {
649         /* SSLfatal() already called */
650         goto err;
651     }
652
653     if (finsecret != NULL
654             && !tls13_derive_finishedkey(s, ssl_handshake_md(s), secret,
655                                          finsecret, finsecretlen)) {
656         /* SSLfatal() already called */
657         goto err;
658     }
659
660     if (!s->server && label == client_early_traffic)
661         s->statem.enc_write_state = ENC_WRITE_STATE_WRITE_PLAIN_ALERTS;
662     else
663         s->statem.enc_write_state = ENC_WRITE_STATE_VALID;
664     ret = 1;
665  err:
666     OPENSSL_cleanse(secret, sizeof(secret));
667     return ret;
668 }
669
670 int tls13_update_key(SSL *s, int sending)
671 {
672     static const unsigned char application_traffic[] = "traffic upd";
673     const EVP_MD *md = ssl_handshake_md(s);
674     size_t hashlen = EVP_MD_size(md);
675     unsigned char *insecret, *iv;
676     unsigned char secret[EVP_MAX_MD_SIZE];
677     EVP_CIPHER_CTX *ciph_ctx;
678     int ret = 0;
679
680     if (s->server == sending)
681         insecret = s->server_app_traffic_secret;
682     else
683         insecret = s->client_app_traffic_secret;
684
685     if (sending) {
686         s->statem.enc_write_state = ENC_WRITE_STATE_INVALID;
687         iv = s->write_iv;
688         ciph_ctx = s->enc_write_ctx;
689         RECORD_LAYER_reset_write_sequence(&s->rlayer);
690     } else {
691         iv = s->read_iv;
692         ciph_ctx = s->enc_read_ctx;
693         RECORD_LAYER_reset_read_sequence(&s->rlayer);
694     }
695
696     if (!derive_secret_key_and_iv(s, sending, ssl_handshake_md(s),
697                                   s->s3->tmp.new_sym_enc, insecret, NULL,
698                                   application_traffic,
699                                   sizeof(application_traffic) - 1, secret, iv,
700                                   ciph_ctx)) {
701         /* SSLfatal() already called */
702         goto err;
703     }
704
705     memcpy(insecret, secret, hashlen);
706
707     s->statem.enc_write_state = ENC_WRITE_STATE_VALID;
708     ret = 1;
709  err:
710     OPENSSL_cleanse(secret, sizeof(secret));
711     return ret;
712 }
713
714 int tls13_alert_code(int code)
715 {
716     /* There are 2 additional alerts in TLSv1.3 compared to TLSv1.2 */
717     if (code == SSL_AD_MISSING_EXTENSION || code == SSL_AD_CERTIFICATE_REQUIRED)
718         return code;
719
720     return tls1_alert_code(code);
721 }
722
723 int tls13_export_keying_material(SSL *s, unsigned char *out, size_t olen,
724                                  const char *label, size_t llen,
725                                  const unsigned char *context,
726                                  size_t contextlen, int use_context)
727 {
728     unsigned char exportsecret[EVP_MAX_MD_SIZE];
729     static const unsigned char exporterlabel[] = "exporter";
730     unsigned char hash[EVP_MAX_MD_SIZE], data[EVP_MAX_MD_SIZE];
731     const EVP_MD *md = ssl_handshake_md(s);
732     EVP_MD_CTX *ctx = EVP_MD_CTX_new();
733     unsigned int hashsize, datalen;
734     int ret = 0;
735
736     if (ctx == NULL || !ossl_statem_export_allowed(s))
737         goto err;
738
739     if (!use_context)
740         contextlen = 0;
741
742     if (EVP_DigestInit_ex(ctx, md, NULL) <= 0
743             || EVP_DigestUpdate(ctx, context, contextlen) <= 0
744             || EVP_DigestFinal_ex(ctx, hash, &hashsize) <= 0
745             || EVP_DigestInit_ex(ctx, md, NULL) <= 0
746             || EVP_DigestFinal_ex(ctx, data, &datalen) <= 0
747             || !tls13_hkdf_expand(s, md, s->exporter_master_secret,
748                                   (const unsigned char *)label, llen,
749                                   data, datalen, exportsecret, hashsize)
750             || !tls13_hkdf_expand(s, md, exportsecret, exporterlabel,
751                                   sizeof(exporterlabel) - 1, hash, hashsize,
752                                   out, olen))
753         goto err;
754
755     ret = 1;
756  err:
757     EVP_MD_CTX_free(ctx);
758     return ret;
759 }
760
761 int tls13_export_keying_material_early(SSL *s, unsigned char *out, size_t olen,
762                                        const char *label, size_t llen,
763                                        const unsigned char *context,
764                                        size_t contextlen)
765 {
766     static const unsigned char exporterlabel[] = "exporter";
767     unsigned char exportsecret[EVP_MAX_MD_SIZE];
768     unsigned char hash[EVP_MAX_MD_SIZE], data[EVP_MAX_MD_SIZE];
769     const EVP_MD *md;
770     EVP_MD_CTX *ctx = EVP_MD_CTX_new();
771     unsigned int hashsize, datalen;
772     int ret = 0;
773     const SSL_CIPHER *sslcipher;
774
775     if (ctx == NULL || !ossl_statem_export_early_allowed(s))
776         goto err;
777
778     if (!s->server && s->max_early_data > 0
779             && s->session->ext.max_early_data == 0)
780         sslcipher = SSL_SESSION_get0_cipher(s->psksession);
781     else
782         sslcipher = SSL_SESSION_get0_cipher(s->session);
783
784     md = ssl_md(sslcipher->algorithm2);
785
786     /*
787      * Calculate the hash value and store it in |data|. The reason why
788      * the empty string is used is that the definition of TLS-Exporter
789      * is like so:
790      *
791      * TLS-Exporter(label, context_value, key_length) =
792      *     HKDF-Expand-Label(Derive-Secret(Secret, label, ""),
793      *                       "exporter", Hash(context_value), key_length)
794      *
795      * Derive-Secret(Secret, Label, Messages) =
796      *       HKDF-Expand-Label(Secret, Label,
797      *                         Transcript-Hash(Messages), Hash.length)
798      *
799      * Here Transcript-Hash is the cipher suite hash algorithm.
800      */
801     if (EVP_DigestInit_ex(ctx, md, NULL) <= 0
802             || EVP_DigestUpdate(ctx, context, contextlen) <= 0
803             || EVP_DigestFinal_ex(ctx, hash, &hashsize) <= 0
804             || EVP_DigestInit_ex(ctx, md, NULL) <= 0
805             || EVP_DigestFinal_ex(ctx, data, &datalen) <= 0
806             || !tls13_hkdf_expand(s, md, s->early_exporter_master_secret,
807                                   (const unsigned char *)label, llen,
808                                   data, datalen, exportsecret, hashsize)
809             || !tls13_hkdf_expand(s, md, exportsecret, exporterlabel,
810                                   sizeof(exporterlabel) - 1, hash, hashsize,
811                                   out, olen))
812         goto err;
813
814     ret = 1;
815  err:
816     EVP_MD_CTX_free(ctx);
817     return ret;
818 }