Add RFC5114 DH parameters to OpenSSL. Add test data to dhtest.

[openssl.git] / crypto / dh / dh.h
diff --git a/crypto/dh/dh.h b/crypto/dh/dh.h

index 849309a489940cd6c35fcd895328d22811245353..2929ebe21f701e0cec2d9695a9ffa6d0770870a4 100644 (file)
--- a/crypto/dh/dh.h
+++ b/crypto/dh/dh.h
@@ -77,6 +77,8 @@
  # define OPENSSL_DH_MAX_MODULUS_BITS   10000
  #endif
  
+#define OPENSSL_DH_FIPS_MIN_MODULUS_BITS 1024
+
  #define DH_FLAG_CACHE_MONT_P     0x01
  #define DH_FLAG_NO_EXP_CONSTTIME 0x02 /* new with 0.9.7h; the built-in DH
                                         * implementation now uses constant time
@@ -86,6 +88,21 @@
                                         * be used for all exponents.
                                         */
  
+/* If this flag is set the DH method is FIPS compliant and can be used
+ * in FIPS mode. This is set in the validated module method. If an
+ * application sets this flag in its own methods it is its reposibility
+ * to ensure the result is compliant.
+ */
+
+#define DH_FLAG_FIPS_METHOD                    0x0400
+
+/* If this flag is set the operations normally disabled in FIPS mode are
+ * permitted it is then the applications responsibility to ensure that the
+ * usage is compliant.
+ */
+
+#define DH_FLAG_NON_FIPS_ALLOW                 0x0400
+
  #ifdef  __cplusplus
  extern "C" {
  #endif
@@ -168,6 +185,11 @@ DH *DHparams_dup(DH *);
  
  const DH_METHOD *DH_OpenSSL(void);
  
+#ifdef OPENSSL_FIPS
+DH *   FIPS_dh_new(void);
+void   FIPS_dh_free(DH *dh);
+#endif
+
  void DH_set_default_method(const DH_METHOD *meth);
  const DH_METHOD *DH_get_default_method(void);
  int DH_set_method(DH *dh, const DH_METHOD *meth);
@@ -195,6 +217,7 @@ int DH_check(const DH *dh,int *codes);
  int    DH_check_pub_key(const DH *dh,const BIGNUM *pub_key, int *codes);
  int    DH_generate_key(DH *dh);
  int    DH_compute_key(unsigned char *key,const BIGNUM *pub_key,DH *dh);
+int    DH_compute_key_padded(unsigned char *key,const BIGNUM *pub_key,DH *dh);
  DH *   d2i_DHparams(DH **a,const unsigned char **pp, long length);
  int    i2d_DHparams(const DH *a,unsigned char **pp);
  #ifndef OPENSSL_NO_FP_API
@@ -206,6 +229,11 @@ int        DHparams_print(BIO *bp, const DH *x);
  int    DHparams_print(char *bp, const DH *x);
  #endif
  
+/* RFC 5114 parameters */
+DH *DH_get_1024_160(void);
+DH *DH_get_2048_224(void);
+DH *DH_get_2048_256(void);
+
  #define EVP_PKEY_CTX_set_dh_paramgen_prime_len(ctx, len) \
         EVP_PKEY_CTX_ctrl(ctx, EVP_PKEY_DH, EVP_PKEY_OP_PARAMGEN, \
                         EVP_PKEY_CTRL_DH_PARAMGEN_PRIME_LEN, len, NULL)
@@ -249,6 +277,7 @@ void ERR_load_DH_strings(void);
  #define DH_R_DECODE_ERROR                               104
  #define DH_R_INVALID_PUBKEY                             102
  #define DH_R_KEYS_NOT_SET                               108
+#define DH_R_KEY_SIZE_TOO_SMALL                                 110
  #define DH_R_MODULUS_TOO_LARGE                          103
  #define DH_R_NO_PARAMETERS_SET                          107
  #define DH_R_NO_PRIVATE_VALUE                           100