g10/ecdh.c

   1 /* ecdh.c - ECDH public key operations used in public key glue code
   2  *      Copyright (C) 2010, 2011 Free Software Foundation, Inc.
   3  *
   4  * This file is part of GnuPG.
   5  *
   6  * GnuPG is free software; you can redistribute it and/or modify
   7  * it under the terms of the GNU General Public License as published by
   8  * the Free Software Foundation; either version 3 of the License, or
   9  * (at your option) any later version.
  10  *
  11  * GnuPG is distributed in the hope that it will be useful,
  12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  14  * GNU General Public License for more details.
  15  *
  16  * You should have received a copy of the GNU General Public License
  17  * along with this program; if not, see <https://www.gnu.org/licenses/>.
  18  */
  19
  20 #include <config.h>
  21 #include <stdio.h>
  22 #include <stdlib.h>
  23 #include <string.h>
  24 #include <errno.h>
  25
  26 #include "gpg.h"
  27 #include "util.h"
  28 #include "pkglue.h"
  29 #include "main.h"
  30 #include "options.h"
  31
  32 /* A table with the default KEK parameters used by GnuPG.  */
  33 static const struct
  34 {
  35   unsigned int qbits;
  36   int openpgp_hash_id;   /* KEK digest algorithm. */
  37   int openpgp_cipher_id; /* KEK cipher algorithm. */
  38 } kek_params_table[] =
  39   /* Note: Must be sorted by ascending values for QBITS.  */
  40   {
  41     { 256, DIGEST_ALGO_SHA256, CIPHER_ALGO_AES    },
  42     { 384, DIGEST_ALGO_SHA384, CIPHER_ALGO_AES256 },
  43
  44     /* Note: 528 is 521 rounded to the 8 bit boundary */
  45     { 528, DIGEST_ALGO_SHA512, CIPHER_ALGO_AES256 }
  46   };
  47
  48
  49
  50 /* Return KEK parameters as an opaque MPI The caller must free the
  51    returned value.  Returns NULL and sets ERRNO on error.  */
  52 gcry_mpi_t
  53 pk_ecdh_default_params (unsigned int qbits)
  54 {
  55   byte *kek_params;
  56   int i;
  57
  58   kek_params = xtrymalloc (4);
  59   if (!kek_params)
  60     return NULL;
  61   kek_params[0] = 3; /* Number of bytes to follow. */
  62   kek_params[1] = 1; /* Version for KDF+AESWRAP.   */
  63
  64   /* Search for matching KEK parameter.  Defaults to the strongest
  65      possible choices.  Performance is not an issue here, only
  66      interoperability.  */
  67   for (i=0; i < DIM (kek_params_table); i++)
  68     {
  69       if (kek_params_table[i].qbits >= qbits
  70           || i+1 == DIM (kek_params_table))
  71         {
  72           kek_params[2] = kek_params_table[i].openpgp_hash_id;
  73           kek_params[3] = kek_params_table[i].openpgp_cipher_id;
  74           break;
  75         }
  76     }
  77   log_assert (i < DIM (kek_params_table));
  78   if (DBG_CRYPTO)
  79     log_printhex ("ECDH KEK params are", kek_params, sizeof(kek_params) );
  80
  81   return gcry_mpi_set_opaque (NULL, kek_params, 4 * 8);
  82 }
  83
  84
  85 /* Encrypts/decrypts DATA using a key derived from the ECC shared
  86    point SHARED_MPI using the FIPS SP 800-56A compliant method
  87    key_derivation+key_wrapping.  If IS_ENCRYPT is true the function
  88    encrypts; if false, it decrypts.  PKEY is the public key and PK_FP
  89    the fingerprint of this public key.  On success the result is
  90    stored at R_RESULT; on failure NULL is stored at R_RESULT and an
  91    error code returned.  */
  92 gpg_error_t
  93 pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
  94                                    const byte pk_fp[MAX_FINGERPRINT_LEN],
  95                                    gcry_mpi_t data, gcry_mpi_t *pkey,
  96                                    gcry_mpi_t *r_result)
  97 {
  98   gpg_error_t err;
  99   byte *secret_x;
 100   int secret_x_size;
 101   unsigned int nbits;
 102   const unsigned char *kek_params;
 103   size_t kek_params_size;
 104   int kdf_hash_algo;
 105   int kdf_encr_algo;
 106   unsigned char message[256];
 107   size_t message_size;
 108
 109   *r_result = NULL;
 110
 111   nbits = pubkey_nbits (PUBKEY_ALGO_ECDH, pkey);
 112   if (!nbits)
 113     return gpg_error (GPG_ERR_TOO_SHORT);
 114
 115   {
 116     size_t nbytes;
 117
 118     /* Extract x component of the shared point: this is the actual
 119        shared secret. */
 120     nbytes = (mpi_get_nbits (pkey[1] /* public point */)+7)/8;
 121     secret_x = xtrymalloc_secure (nbytes);
 122     if (!secret_x)
 123       return gpg_error_from_syserror ();
 124
 125     err = gcry_mpi_print (GCRYMPI_FMT_USG, secret_x, nbytes,
 126                           &nbytes, shared_mpi);
 127     if (err)
 128       {
 129         xfree (secret_x);
 130         log_error ("ECDH ephemeral export of shared point failed: %s\n",
 131                    gpg_strerror (err));
 132         return err;
 133       }
 134
 135     /* Expected size of the x component */
 136     secret_x_size = (nbits+7)/8;
 137
 138     /* Extract X from the result.  It must be in the format of:
 139            04 || X || Y
 140            40 || X
 141            41 || X
 142
 143        Since it always comes with the prefix, it's larger than X.  In
 144        old experimental version of libgcrypt, there is a case where it
 145        returns X with no prefix of 40, so, nbytes == secret_x_size
 146        is allowed.  */
 147     if (nbytes < secret_x_size)
 148       {
 149         xfree (secret_x);
 150         return gpg_error (GPG_ERR_BAD_DATA);
 151       }
 152
 153     /* Remove the prefix.  */
 154     if ((nbytes & 1))
 155       memmove (secret_x, secret_x+1, secret_x_size);
 156
 157     /* Clear the rest of data.  */
 158     if (nbytes - secret_x_size)
 159       memset (secret_x+secret_x_size, 0, nbytes-secret_x_size);
 160
 161     if (DBG_CRYPTO)
 162       log_printhex ("ECDH shared secret X is:", secret_x, secret_x_size );
 163   }
 164
 165   /*** We have now the shared secret bytes in secret_x. ***/
 166
 167   /* At this point we are done with PK encryption and the rest of the
 168    * function uses symmetric key encryption techniques to protect the
 169    * input DATA.  The following two sections will simply replace
 170    * current secret_x with a value derived from it.  This will become
 171    * a KEK.
 172    */
 173   if (!gcry_mpi_get_flag (pkey[2], GCRYMPI_FLAG_OPAQUE))
 174     {
 175       xfree (secret_x);
 176       return gpg_error (GPG_ERR_BUG);
 177     }
 178   kek_params = gcry_mpi_get_opaque (pkey[2], &nbits);
 179   kek_params_size = (nbits+7)/8;
 180
 181   if (DBG_CRYPTO)
 182     log_printhex ("ecdh KDF params:", kek_params, kek_params_size);
 183
 184   /* Expect 4 bytes  03 01 hash_alg symm_alg.  */
 185   if (kek_params_size != 4 || kek_params[0] != 3 || kek_params[1] != 1)
 186     {
 187       xfree (secret_x);
 188       return gpg_error (GPG_ERR_BAD_PUBKEY);
 189     }
 190
 191   kdf_hash_algo = kek_params[2];
 192   kdf_encr_algo = kek_params[3];
 193
 194   if (DBG_CRYPTO)
 195     log_debug ("ecdh KDF algorithms %s+%s with aeswrap\n",
 196                openpgp_md_algo_name (kdf_hash_algo),
 197                openpgp_cipher_algo_name (kdf_encr_algo));
 198
 199   if (kdf_hash_algo != GCRY_MD_SHA256
 200       && kdf_hash_algo != GCRY_MD_SHA384
 201       && kdf_hash_algo != GCRY_MD_SHA512)
 202     {
 203       xfree (secret_x);
 204       return gpg_error (GPG_ERR_BAD_PUBKEY);
 205     }
 206   if (kdf_encr_algo != CIPHER_ALGO_AES
 207       && kdf_encr_algo != CIPHER_ALGO_AES192
 208       && kdf_encr_algo != CIPHER_ALGO_AES256)
 209     {
 210       xfree (secret_x);
 211       return gpg_error (GPG_ERR_BAD_PUBKEY);
 212     }
 213
 214   /* Build kdf_params.  */
 215   {
 216     IOBUF obuf;
 217
 218     obuf = iobuf_temp();
 219     /* variable-length field 1, curve name OID */
 220     err = gpg_mpi_write_nohdr (obuf, pkey[0]);
 221     /* fixed-length field 2 */
 222     iobuf_put (obuf, PUBKEY_ALGO_ECDH);
 223     /* variable-length field 3, KDF params */
 224     err = (err ? err : gpg_mpi_write_nohdr (obuf, pkey[2]));
 225     /* fixed-length field 4 */
 226     iobuf_write (obuf, "Anonymous Sender    ", 20);
 227     /* fixed-length field 5, recipient fp */
 228     iobuf_write (obuf, pk_fp, 20);
 229
 230     message_size = iobuf_temp_to_buffer (obuf, message, sizeof message);
 231     iobuf_close (obuf);
 232     if (err)
 233       {
 234         xfree (secret_x);
 235         return err;
 236       }
 237
 238     if(DBG_CRYPTO)
 239       log_printhex ("ecdh KDF message params are:", message, message_size);
 240   }
 241
 242   /* Derive a KEK (key wrapping key) using MESSAGE and SECRET_X. */
 243   {
 244     gcry_md_hd_t h;
 245     int old_size;
 246
 247     err = gcry_md_open (&h, kdf_hash_algo, 0);
 248     if (err)
 249       {
 250         log_error ("gcry_md_open failed for kdf_hash_algo %d: %s",
 251                    kdf_hash_algo, gpg_strerror (err));
 252         xfree (secret_x);
 253         return err;
 254       }
 255     gcry_md_write(h, "\x00\x00\x00\x01", 4);      /* counter = 1 */
 256     gcry_md_write(h, secret_x, secret_x_size);    /* x of the point X */
 257     gcry_md_write(h, message, message_size);      /* KDF parameters */
 258
 259     gcry_md_final (h);
 260
 261     log_assert( gcry_md_get_algo_dlen (kdf_hash_algo) >= 32 );
 262
 263     memcpy (secret_x, gcry_md_read (h, kdf_hash_algo),
 264             gcry_md_get_algo_dlen (kdf_hash_algo));
 265     gcry_md_close (h);
 266
 267     old_size = secret_x_size;
 268     log_assert( old_size >= gcry_cipher_get_algo_keylen( kdf_encr_algo ) );
 269     secret_x_size = gcry_cipher_get_algo_keylen( kdf_encr_algo );
 270     log_assert( secret_x_size <= gcry_md_get_algo_dlen (kdf_hash_algo) );
 271
 272     /* We could have allocated more, so clean the tail before returning.  */
 273     memset (secret_x+secret_x_size, 0, old_size - secret_x_size);
 274     if (DBG_CRYPTO)
 275       log_printhex ("ecdh KEK is:", secret_x, secret_x_size );
 276   }
 277
 278   /* And, finally, aeswrap with key secret_x.  */
 279   {
 280     gcry_cipher_hd_t hd;
 281     size_t nbytes;
 282
 283     byte *data_buf;
 284     int data_buf_size;
 285
 286     gcry_mpi_t result;
 287
 288     err = gcry_cipher_open (&hd, kdf_encr_algo, GCRY_CIPHER_MODE_AESWRAP, 0);
 289     if (err)
 290       {
 291         log_error ("ecdh failed to initialize AESWRAP: %s\n",
 292                    gpg_strerror (err));
 293         xfree (secret_x);
 294         return err;
 295       }
 296
 297     err = gcry_cipher_setkey (hd, secret_x, secret_x_size);
 298     xfree (secret_x);
 299     secret_x = NULL;
 300     if (err)
 301       {
 302         gcry_cipher_close (hd);
 303         log_error ("ecdh failed in gcry_cipher_setkey: %s\n",
 304                    gpg_strerror (err));
 305         return err;
 306       }
 307
 308     data_buf_size = (gcry_mpi_get_nbits(data)+7)/8;
 309     if ((data_buf_size & 7) != (is_encrypt ? 0 : 1))
 310       {
 311         log_error ("can't use a shared secret of %d bytes for ecdh\n",
 312                    data_buf_size);
 313         return gpg_error (GPG_ERR_BAD_DATA);
 314       }
 315
 316     data_buf = xtrymalloc_secure( 1 + 2*data_buf_size + 8);
 317     if (!data_buf)
 318       {
 319         err = gpg_error_from_syserror ();
 320         gcry_cipher_close (hd);
 321         return err;
 322       }
 323
 324     if (is_encrypt)
 325       {
 326         byte *in = data_buf+1+data_buf_size+8;
 327
 328         /* Write data MPI into the end of data_buf. data_buf is size
 329            aeswrap data.  */
 330         err = gcry_mpi_print (GCRYMPI_FMT_USG, in,
 331                              data_buf_size, &nbytes, data/*in*/);
 332         if (err)
 333           {
 334             log_error ("ecdh failed to export DEK: %s\n", gpg_strerror (err));
 335             gcry_cipher_close (hd);
 336             xfree (data_buf);
 337             return err;
 338           }
 339
 340         if (DBG_CRYPTO)
 341           log_printhex ("ecdh encrypting  :", in, data_buf_size );
 342
 343         err = gcry_cipher_encrypt (hd, data_buf+1, data_buf_size+8,
 344                                    in, data_buf_size);
 345         memset (in, 0, data_buf_size);
 346         gcry_cipher_close (hd);
 347         if (err)
 348           {
 349             log_error ("ecdh failed in gcry_cipher_encrypt: %s\n",
 350                        gpg_strerror (err));
 351             xfree (data_buf);
 352             return err;
 353           }
 354         data_buf[0] = data_buf_size+8;
 355
 356         if (DBG_CRYPTO)
 357           log_printhex ("ecdh encrypted to:", data_buf+1, data_buf[0] );
 358
 359         result = gcry_mpi_set_opaque (NULL, data_buf, 8 * (1+data_buf[0]));
 360         if (!result)
 361           {
 362             err = gpg_error_from_syserror ();
 363             xfree (data_buf);
 364             log_error ("ecdh failed to create an MPI: %s\n",
 365                        gpg_strerror (err));
 366             return err;
 367           }
 368
 369         *r_result = result;
 370       }
 371     else
 372       {
 373         byte *in;
 374         const void *p;
 375
 376         p = gcry_mpi_get_opaque (data, &nbits);
 377         nbytes = (nbits+7)/8;
 378         if (!p || nbytes > data_buf_size || !nbytes)
 379           {
 380             xfree (data_buf);
 381             return gpg_error (GPG_ERR_BAD_MPI);
 382           }
 383         memcpy (data_buf, p, nbytes);
 384         if (data_buf[0] != nbytes-1)
 385           {
 386             log_error ("ecdh inconsistent size\n");
 387             xfree (data_buf);
 388             return gpg_error (GPG_ERR_BAD_MPI);
 389           }
 390         in = data_buf+data_buf_size;
 391         data_buf_size = data_buf[0];
 392
 393         if (DBG_CRYPTO)
 394           log_printhex ("ecdh decrypting :", data_buf+1, data_buf_size);
 395
 396         err = gcry_cipher_decrypt (hd, in, data_buf_size, data_buf+1,
 397                                    data_buf_size);
 398         gcry_cipher_close (hd);
 399         if (err)
 400           {
 401             log_error ("ecdh failed in gcry_cipher_decrypt: %s\n",
 402                        gpg_strerror (err));
 403             xfree (data_buf);
 404             return err;
 405           }
 406
 407         data_buf_size -= 8;
 408
 409         if (DBG_CRYPTO)
 410           log_printhex ("ecdh decrypted to :", in, data_buf_size);
 411
 412         /* Padding is removed later.  */
 413         /* if (in[data_buf_size-1] > 8 ) */
 414         /*   { */
 415         /*     log_error ("ecdh failed at decryption: invalid padding." */
 416         /*                " 0x%02x > 8\n", in[data_buf_size-1] ); */
 417         /*     return gpg_error (GPG_ERR_BAD_KEY); */
 418         /*   } */
 419
 420         err = gcry_mpi_scan (&result, GCRYMPI_FMT_USG, in, data_buf_size, NULL);
 421         xfree (data_buf);
 422         if (err)
 423           {
 424             log_error ("ecdh failed to create a plain text MPI: %s\n",
 425                        gpg_strerror (err));
 426             return err;
 427           }
 428
 429         *r_result = result;
 430       }
 431   }
 432
 433   return err;
 434 }
 435
 436
 437 static gcry_mpi_t
 438 gen_k (unsigned nbits)
 439 {
 440   gcry_mpi_t k;
 441
 442   k = gcry_mpi_snew (nbits);
 443   if (DBG_CRYPTO)
 444     log_debug ("choosing a random k of %u bits\n", nbits);
 445
 446   gcry_mpi_randomize (k, nbits-1, GCRY_STRONG_RANDOM);
 447
 448   if (DBG_CRYPTO)
 449     {
 450       unsigned char *buffer;
 451       if (gcry_mpi_aprint (GCRYMPI_FMT_HEX, &buffer, NULL, k))
 452         BUG ();
 453       log_debug ("ephemeral scalar MPI #0: %s\n", buffer);
 454       gcry_free (buffer);
 455     }
 456
 457   return k;
 458 }
 459
 460
 461 /* Generate an ephemeral key for the public ECDH key in PKEY.  On
 462    success the generated key is stored at R_K; on failure NULL is
 463    stored at R_K and an error code returned.  */
 464 gpg_error_t
 465 pk_ecdh_generate_ephemeral_key (gcry_mpi_t *pkey, gcry_mpi_t *r_k)
 466 {
 467   unsigned int nbits;
 468   gcry_mpi_t k;
 469
 470   *r_k = NULL;
 471
 472   nbits = pubkey_nbits (PUBKEY_ALGO_ECDH, pkey);
 473   if (!nbits)
 474     return gpg_error (GPG_ERR_TOO_SHORT);
 475   k = gen_k (nbits);
 476   if (!k)
 477     BUG ();
 478
 479   *r_k = k;
 480   return 0;
 481 }
 482
 483
 484
 485 /* Perform ECDH decryption.   */
 486 int
 487 pk_ecdh_decrypt (gcry_mpi_t * result, const byte sk_fp[MAX_FINGERPRINT_LEN],
 488                  gcry_mpi_t data, gcry_mpi_t shared, gcry_mpi_t * skey)
 489 {
 490   if (!data)
 491     return gpg_error (GPG_ERR_BAD_MPI);
 492   return pk_ecdh_encrypt_with_shared_point (0 /*=decryption*/, shared,
 493                                             sk_fp, data/*encr data as an MPI*/,
 494                                             skey, result);
 495 }