dae6daa696456f34884943332a5bd35fdbfd3867
[openssl.git] / util / perl / TLSProxy / Message.pm
1 # Copyright 2016-2018 The OpenSSL Project Authors. All Rights Reserved.
2 #
3 # Licensed under the OpenSSL license (the "License").  You may not use
4 # this file except in compliance with the License.  You can obtain a copy
5 # in the file LICENSE in the source distribution or at
6 # https://www.openssl.org/source/license.html
7
8 use strict;
9
10 package TLSProxy::Message;
11
12 use TLSProxy::Alert;
13
14 use constant TLS_MESSAGE_HEADER_LENGTH => 4;
15
16 #Message types
17 use constant {
18     MT_HELLO_REQUEST => 0,
19     MT_CLIENT_HELLO => 1,
20     MT_SERVER_HELLO => 2,
21     MT_NEW_SESSION_TICKET => 4,
22     MT_ENCRYPTED_EXTENSIONS => 8,
23     MT_CERTIFICATE => 11,
24     MT_SERVER_KEY_EXCHANGE => 12,
25     MT_CERTIFICATE_REQUEST => 13,
26     MT_SERVER_HELLO_DONE => 14,
27     MT_CERTIFICATE_VERIFY => 15,
28     MT_CLIENT_KEY_EXCHANGE => 16,
29     MT_FINISHED => 20,
30     MT_CERTIFICATE_STATUS => 22,
31     MT_NEXT_PROTO => 67
32 };
33
34 #Alert levels
35 use constant {
36     AL_LEVEL_WARN => 1,
37     AL_LEVEL_FATAL => 2
38 };
39
40 #Alert descriptions
41 use constant {
42     AL_DESC_CLOSE_NOTIFY => 0,
43     AL_DESC_UNEXPECTED_MESSAGE => 10,
44     AL_DESC_ILLEGAL_PARAMETER => 47,
45     AL_DESC_NO_RENEGOTIATION => 100
46 };
47
48 my %message_type = (
49     MT_HELLO_REQUEST, "HelloRequest",
50     MT_CLIENT_HELLO, "ClientHello",
51     MT_SERVER_HELLO, "ServerHello",
52     MT_NEW_SESSION_TICKET, "NewSessionTicket",
53     MT_ENCRYPTED_EXTENSIONS, "EncryptedExtensions",
54     MT_CERTIFICATE, "Certificate",
55     MT_SERVER_KEY_EXCHANGE, "ServerKeyExchange",
56     MT_CERTIFICATE_REQUEST, "CertificateRequest",
57     MT_SERVER_HELLO_DONE, "ServerHelloDone",
58     MT_CERTIFICATE_VERIFY, "CertificateVerify",
59     MT_CLIENT_KEY_EXCHANGE, "ClientKeyExchange",
60     MT_FINISHED, "Finished",
61     MT_CERTIFICATE_STATUS, "CertificateStatus",
62     MT_NEXT_PROTO, "NextProto"
63 );
64
65 use constant {
66     EXT_SERVER_NAME => 0,
67     EXT_MAX_FRAGMENT_LENGTH => 1,
68     EXT_STATUS_REQUEST => 5,
69     EXT_SUPPORTED_GROUPS => 10,
70     EXT_EC_POINT_FORMATS => 11,
71     EXT_SRP => 12,
72     EXT_SIG_ALGS => 13,
73     EXT_USE_SRTP => 14,
74     EXT_ALPN => 16,
75     EXT_SCT => 18,
76     EXT_PADDING => 21,
77     EXT_ENCRYPT_THEN_MAC => 22,
78     EXT_EXTENDED_MASTER_SECRET => 23,
79     EXT_SESSION_TICKET => 35,
80     EXT_KEY_SHARE => 51,
81     EXT_PSK => 41,
82     EXT_SUPPORTED_VERSIONS => 43,
83     EXT_COOKIE => 44,
84     EXT_PSK_KEX_MODES => 45,
85     EXT_POST_HANDSHAKE_AUTH => 49,
86     EXT_SIG_ALGS_CERT => 50,
87     EXT_RENEGOTIATE => 65281,
88     EXT_NPN => 13172,
89     # This extension is an unofficial extension only ever written by OpenSSL
90     # (i.e. not read), and even then only when enabled. We use it to test
91     # handling of duplicate extensions.
92     EXT_DUPLICATE_EXTENSION => 0xfde8,
93     EXT_UNKNOWN => 0xfffe,
94     #Unknown extension that should appear last
95     EXT_FORCE_LAST => 0xffff
96 };
97
98 # SignatureScheme of TLS 1.3, from
99 # https://tools.ietf.org/html/draft-ietf-tls-tls13-20#appendix-B.3.1.3
100 # TODO(TLS1.3) update link to IANA registry after publication
101 # We have to manually grab the SHA224 equivalents from the old registry
102 use constant {
103     SIG_ALG_RSA_PKCS1_SHA256 => 0x0401,
104     SIG_ALG_RSA_PKCS1_SHA384 => 0x0501,
105     SIG_ALG_RSA_PKCS1_SHA512 => 0x0601,
106     SIG_ALG_ECDSA_SECP256R1_SHA256 => 0x0403,
107     SIG_ALG_ECDSA_SECP384R1_SHA384 => 0x0503,
108     SIG_ALG_ECDSA_SECP521R1_SHA512 => 0x0603,
109     SIG_ALG_RSA_PSS_RSAE_SHA256 => 0x0804,
110     SIG_ALG_RSA_PSS_RSAE_SHA384 => 0x0805,
111     SIG_ALG_RSA_PSS_RSAE_SHA512 => 0x0806,
112     SIG_ALG_ED25519 => 0x0807,
113     SIG_ALG_ED448 => 0x0808,
114     SIG_ALG_RSA_PSS_PSS_SHA256 => 0x0809,
115     SIG_ALG_RSA_PSS_PSS_SHA384 => 0x080a,
116     SIG_ALG_RSA_PSS_PSS_SHA512 => 0x080b,
117     SIG_ALG_RSA_PKCS1_SHA1 => 0x0201,
118     SIG_ALG_ECDSA_SHA1 => 0x0203,
119     SIG_ALG_DSA_SHA1 => 0x0202,
120     SIG_ALG_DSA_SHA256 => 0x0402,
121     SIG_ALG_DSA_SHA384 => 0x0502,
122     SIG_ALG_DSA_SHA512 => 0x0602,
123     OSSL_SIG_ALG_RSA_PKCS1_SHA224 => 0x0301,
124     OSSL_SIG_ALG_DSA_SHA224 => 0x0302,
125     OSSL_SIG_ALG_ECDSA_SHA224 => 0x0303
126 };
127
128 use constant {
129     CIPHER_RSA_WITH_AES_128_CBC_SHA => 0x002f,
130     CIPHER_DHE_RSA_AES_128_SHA => 0x0033,
131     CIPHER_ADH_AES_128_SHA => 0x0034,
132     CIPHER_TLS13_AES_128_GCM_SHA256 => 0x1301,
133     CIPHER_TLS13_AES_256_GCM_SHA384 => 0x1302
134 };
135
136 my $payload = "";
137 my $messlen = -1;
138 my $mt;
139 my $startoffset = -1;
140 my $server = 0;
141 my $success = 0;
142 my $end = 0;
143 my @message_rec_list = ();
144 my @message_frag_lens = ();
145 my $ciphersuite = 0;
146 my $successondata = 0;
147 my $alert;
148
149 sub clear
150 {
151     $payload = "";
152     $messlen = -1;
153     $startoffset = -1;
154     $server = 0;
155     $success = 0;
156     $end = 0;
157     $successondata = 0;
158     @message_rec_list = ();
159     @message_frag_lens = ();
160     $alert = undef;
161 }
162
163 #Class method to extract messages from a record
164 sub get_messages
165 {
166     my $class = shift;
167     my $serverin = shift;
168     my $record = shift;
169     my @messages = ();
170     my $message;
171
172     @message_frag_lens = ();
173
174     if ($serverin != $server && length($payload) != 0) {
175         die "Changed peer, but we still have fragment data\n";
176     }
177     $server = $serverin;
178
179     if ($record->content_type == TLSProxy::Record::RT_CCS) {
180         if ($payload ne "") {
181             #We can't handle this yet
182             die "CCS received before message data complete\n";
183         }
184         if (!TLSProxy::Proxy->is_tls13()) {
185             if ($server) {
186                 TLSProxy::Record->server_encrypting(1);
187             } else {
188                 TLSProxy::Record->client_encrypting(1);
189             }
190         }
191     } elsif ($record->content_type == TLSProxy::Record::RT_HANDSHAKE) {
192         if ($record->len == 0 || $record->len_real == 0) {
193             print "  Message truncated\n";
194         } else {
195             my $recoffset = 0;
196
197             if (length $payload > 0) {
198                 #We are continuing processing a message started in a previous
199                 #record. Add this record to the list associated with this
200                 #message
201                 push @message_rec_list, $record;
202
203                 if ($messlen <= length($payload)) {
204                     #Shouldn't happen
205                     die "Internal error: invalid messlen: ".$messlen
206                         ." payload length:".length($payload)."\n";
207                 }
208                 if (length($payload) + $record->decrypt_len >= $messlen) {
209                     #We can complete the message with this record
210                     $recoffset = $messlen - length($payload);
211                     $payload .= substr($record->decrypt_data, 0, $recoffset);
212                     push @message_frag_lens, $recoffset;
213                     $message = create_message($server, $mt, $payload,
214                                               $startoffset);
215                     push @messages, $message;
216
217                     $payload = "";
218                 } else {
219                     #This is just part of the total message
220                     $payload .= $record->decrypt_data;
221                     $recoffset = $record->decrypt_len;
222                     push @message_frag_lens, $record->decrypt_len;
223                 }
224                 print "  Partial message data read: ".$recoffset." bytes\n";
225             }
226
227             while ($record->decrypt_len > $recoffset) {
228                 #We are at the start of a new message
229                 if ($record->decrypt_len - $recoffset < 4) {
230                     #Whilst technically probably valid we can't cope with this
231                     die "End of record in the middle of a message header\n";
232                 }
233                 @message_rec_list = ($record);
234                 my $lenhi;
235                 my $lenlo;
236                 ($mt, $lenhi, $lenlo) = unpack('CnC',
237                                                substr($record->decrypt_data,
238                                                       $recoffset));
239                 $messlen = ($lenhi << 8) | $lenlo;
240                 print "  Message type: $message_type{$mt}\n";
241                 print "  Message Length: $messlen\n";
242                 $startoffset = $recoffset;
243                 $recoffset += 4;
244                 $payload = "";
245                 
246                 if ($recoffset <= $record->decrypt_len) {
247                     #Some payload data is present in this record
248                     if ($record->decrypt_len - $recoffset >= $messlen) {
249                         #We can complete the message with this record
250                         $payload .= substr($record->decrypt_data, $recoffset,
251                                            $messlen);
252                         $recoffset += $messlen;
253                         push @message_frag_lens, $messlen;
254                         $message = create_message($server, $mt, $payload,
255                                                   $startoffset);
256                         push @messages, $message;
257
258                         $payload = "";
259                     } else {
260                         #This is just part of the total message
261                         $payload .= substr($record->decrypt_data, $recoffset,
262                                            $record->decrypt_len - $recoffset);
263                         $recoffset = $record->decrypt_len;
264                         push @message_frag_lens, $recoffset;
265                     }
266                 }
267             }
268         }
269     } elsif ($record->content_type == TLSProxy::Record::RT_APPLICATION_DATA) {
270         print "  [ENCRYPTED APPLICATION DATA]\n";
271         print "  [".$record->decrypt_data."]\n";
272
273         if ($successondata) {
274             $success = 1;
275             $end = 1;
276         }
277     } elsif ($record->content_type == TLSProxy::Record::RT_ALERT) {
278         my ($alertlev, $alertdesc) = unpack('CC', $record->decrypt_data);
279         print "  [$alertlev, $alertdesc]\n";
280         #A CloseNotify from the client indicates we have finished successfully
281         #(we assume)
282         if (!$end && !$server && $alertlev == AL_LEVEL_WARN
283             && $alertdesc == AL_DESC_CLOSE_NOTIFY) {
284             $success = 1;
285         }
286         #Fatal or close notify alerts end the test
287         if ($alertlev == AL_LEVEL_FATAL || $alertdesc == AL_DESC_CLOSE_NOTIFY) {
288             $end = 1;
289         }
290         $alert = TLSProxy::Alert->new(
291             $server,
292             $record->encrypted,
293             $alertlev,
294             $alertdesc);
295     }
296
297     return @messages;
298 }
299
300 #Function to work out which sub-class we need to create and then
301 #construct it
302 sub create_message
303 {
304     my ($server, $mt, $data, $startoffset) = @_;
305     my $message;
306
307     #We only support ClientHello in this version...needs to be extended for
308     #others
309     if ($mt == MT_CLIENT_HELLO) {
310         $message = TLSProxy::ClientHello->new(
311             $server,
312             $data,
313             [@message_rec_list],
314             $startoffset,
315             [@message_frag_lens]
316         );
317         $message->parse();
318     } elsif ($mt == MT_SERVER_HELLO) {
319         $message = TLSProxy::ServerHello->new(
320             $server,
321             $data,
322             [@message_rec_list],
323             $startoffset,
324             [@message_frag_lens]
325         );
326         $message->parse();
327     } elsif ($mt == MT_ENCRYPTED_EXTENSIONS) {
328         $message = TLSProxy::EncryptedExtensions->new(
329             $server,
330             $data,
331             [@message_rec_list],
332             $startoffset,
333             [@message_frag_lens]
334         );
335         $message->parse();
336     } elsif ($mt == MT_CERTIFICATE) {
337         $message = TLSProxy::Certificate->new(
338             $server,
339             $data,
340             [@message_rec_list],
341             $startoffset,
342             [@message_frag_lens]
343         );
344         $message->parse();
345     } elsif ($mt == MT_CERTIFICATE_VERIFY) {
346         $message = TLSProxy::CertificateVerify->new(
347             $server,
348             $data,
349             [@message_rec_list],
350             $startoffset,
351             [@message_frag_lens]
352         );
353         $message->parse();
354     } elsif ($mt == MT_SERVER_KEY_EXCHANGE) {
355         $message = TLSProxy::ServerKeyExchange->new(
356             $server,
357             $data,
358             [@message_rec_list],
359             $startoffset,
360             [@message_frag_lens]
361         );
362         $message->parse();
363     } elsif ($mt == MT_NEW_SESSION_TICKET) {
364         $message = TLSProxy::NewSessionTicket->new(
365             $server,
366             $data,
367             [@message_rec_list],
368             $startoffset,
369             [@message_frag_lens]
370         );
371         $message->parse();
372     } else {
373         #Unknown message type
374         $message = TLSProxy::Message->new(
375             $server,
376             $mt,
377             $data,
378             [@message_rec_list],
379             $startoffset,
380             [@message_frag_lens]
381         );
382     }
383
384     return $message;
385 }
386
387 sub end
388 {
389     my $class = shift;
390     return $end;
391 }
392 sub success
393 {
394     my $class = shift;
395     return $success;
396 }
397 sub fail
398 {
399     my $class = shift;
400     return !$success && $end;
401 }
402
403 sub alert
404 {
405     return $alert;
406 }
407
408 sub new
409 {
410     my $class = shift;
411     my ($server,
412         $mt,
413         $data,
414         $records,
415         $startoffset,
416         $message_frag_lens) = @_;
417     
418     my $self = {
419         server => $server,
420         data => $data,
421         records => $records,
422         mt => $mt,
423         startoffset => $startoffset,
424         message_frag_lens => $message_frag_lens
425     };
426
427     return bless $self, $class;
428 }
429
430 sub ciphersuite
431 {
432     my $class = shift;
433     if (@_) {
434       $ciphersuite = shift;
435     }
436     return $ciphersuite;
437 }
438
439 #Update all the underlying records with the modified data from this message
440 #Note: Only supports re-encrypting for TLSv1.3
441 sub repack
442 {
443     my $self = shift;
444     my $msgdata;
445
446     my $numrecs = $#{$self->records};
447
448     $self->set_message_contents();
449
450     my $lenhi;
451     my $lenlo;
452
453     $lenlo = length($self->data) & 0xff;
454     $lenhi = length($self->data) >> 8;
455     $msgdata = pack('CnC', $self->mt, $lenhi, $lenlo).$self->data;
456
457     if ($numrecs == 0) {
458         #The message is fully contained within one record
459         my ($rec) = @{$self->records};
460         my $recdata = $rec->decrypt_data;
461
462         my $old_length;
463
464         # We use empty message_frag_lens to indicates that pre-repacking,
465         # the message wasn't present. The first fragment length doesn't include
466         # the TLS header, so we need to check and compute the right length.
467         if (@{$self->message_frag_lens}) {
468             $old_length = ${$self->message_frag_lens}[0] +
469               TLS_MESSAGE_HEADER_LENGTH;
470         } else {
471             $old_length = 0;
472         }
473
474         my $prefix = substr($recdata, 0, $self->startoffset);
475         my $suffix = substr($recdata, $self->startoffset + $old_length);
476
477         $rec->decrypt_data($prefix.($msgdata).($suffix));
478         # TODO(openssl-team): don't keep explicit lengths.
479         # (If a length override is ever needed to construct invalid packets,
480         #  use an explicit override field instead.)
481         $rec->decrypt_len(length($rec->decrypt_data));
482         $rec->len($rec->len + length($msgdata) - $old_length);
483         # Only support re-encryption for TLSv1.3.
484         if (TLSProxy::Proxy->is_tls13() && $rec->encrypted()) {
485             #Add content type (1 byte) and 16 tag bytes
486             $rec->data($rec->decrypt_data
487                 .pack("C", TLSProxy::Record::RT_HANDSHAKE).("\0"x16));
488         } else {
489             $rec->data($rec->decrypt_data);
490         }
491
492         #Update the fragment len in case we changed it above
493         ${$self->message_frag_lens}[0] = length($msgdata)
494                                          - TLS_MESSAGE_HEADER_LENGTH;
495         return;
496     }
497
498     #Note we don't currently support changing a fragmented message length
499     my $recctr = 0;
500     my $datadone = 0;
501     foreach my $rec (@{$self->records}) {
502         my $recdata = $rec->decrypt_data;
503         if ($recctr == 0) {
504             #This is the first record
505             my $remainlen = length($recdata) - $self->startoffset;
506             $rec->data(substr($recdata, 0, $self->startoffset)
507                        .substr(($msgdata), 0, $remainlen));
508             $datadone += $remainlen;
509         } elsif ($recctr + 1 == $numrecs) {
510             #This is the last record
511             $rec->data(substr($msgdata, $datadone));
512         } else {
513             #This is a middle record
514             $rec->data(substr($msgdata, $datadone, length($rec->data)));
515             $datadone += length($rec->data);
516         }
517         $recctr++;
518     }
519 }
520
521 #To be overridden by sub-classes
522 sub set_message_contents
523 {
524 }
525
526 #Read only accessors
527 sub server
528 {
529     my $self = shift;
530     return $self->{server};
531 }
532
533 #Read/write accessors
534 sub mt
535 {
536     my $self = shift;
537     if (@_) {
538       $self->{mt} = shift;
539     }
540     return $self->{mt};
541 }
542 sub data
543 {
544     my $self = shift;
545     if (@_) {
546       $self->{data} = shift;
547     }
548     return $self->{data};
549 }
550 sub records
551 {
552     my $self = shift;
553     if (@_) {
554       $self->{records} = shift;
555     }
556     return $self->{records};
557 }
558 sub startoffset
559 {
560     my $self = shift;
561     if (@_) {
562       $self->{startoffset} = shift;
563     }
564     return $self->{startoffset};
565 }
566 sub message_frag_lens
567 {
568     my $self = shift;
569     if (@_) {
570       $self->{message_frag_lens} = shift;
571     }
572     return $self->{message_frag_lens};
573 }
574 sub encoded_length
575 {
576     my $self = shift;
577     return TLS_MESSAGE_HEADER_LENGTH + length($self->data);
578 }
579 sub successondata
580 {
581     my $class = shift;
582     if (@_) {
583         $successondata = shift;
584     }
585     return $successondata;
586 }
587 1;