chiark - git - mdw - catacomb/blob - key/key-pass.c

   1 /* -*-c-*-
   2  *
   3  * Encrypting keys with passphrases
   4  *
   5  * (c) 1999 Straylight/Edgeware
   6  */
   7
   8 /*----- Licensing notice --------------------------------------------------*
   9  *
  10  * This file is part of Catacomb.
  11  *
  12  * Catacomb is free software; you can redistribute it and/or modify
  13  * it under the terms of the GNU Library General Public License as
  14  * published by the Free Software Foundation; either version 2 of the
  15  * License, or (at your option) any later version.
  16  *
  17  * Catacomb is distributed in the hope that it will be useful,
  18  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  19  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  20  * GNU Library General Public License for more details.
  21  *
  22  * You should have received a copy of the GNU Library General Public
  23  * License along with Catacomb; if not, write to the Free
  24  * Software Foundation, Inc., 59 Temple Place - Suite 330, Boston,
  25  * MA 02111-1307, USA.
  26  */
  27
  28 /*----- Header files ------------------------------------------------------*/
  29
  30 #include <mLib/dstr.h>
  31
  32 #include "key-data.h"
  33 #include "paranoia.h"
  34 #include "passphrase.h"
  35 #include "rand.h"
  36
  37 #include "blowfish-cbc.h"
  38 #include "rmd160.h"
  39 #include "rmd160-mgf.h"
  40 #include "rmd160-hmac.h"
  41
  42 /*----- Main code ---------------------------------------------------------*/
  43
  44 /* --- Format --- *
  45  *
  46  * Choose a random 160-bit string %$R$%.  Take the passphrase %$P$%, and
  47  * the message %$m$%.  Now, compute %$K_E \cat K_T = H(R \cat P)$%,
  48  * %$y_0 = E_{K_E}(m)$% and %$\tau = T_{K_T}(y_0)$%.  The ciphertext is
  49  * %$y = N \cat \tau \cat y_0$%.
  50  *
  51  * This is not the original format.  The original format was insecure, and
  52  * has been replaced incompatibly.
  53  */
  54
  55 /* --- @key_lock@ --- *
  56  *
  57  * Arguments:   @key_data **kt@ = where to store the destination pointer
  58  *              @key_data *k@ = source key data block or null to use @*kt@
  59  *              @const void *e@ = secret to encrypt key with
  60  *              @size_t esz@ = size of the secret
  61  *
  62  * Returns:     ---
  63  *
  64  * Use:         Encrypts a key data block using a secret.
  65  */
  66
  67 void key_lock(key_data **kt, key_data *k, const void *e, size_t esz)
  68 {
  69   dstr d = DSTR_INIT;
  70   octet b[RMD160_HASHSZ * 2];
  71   octet *m;
  72   size_t msz;
  73   rmd160_mgfctx r;
  74   blowfish_cbcctx c;
  75   rmd160_mackey mk;
  76   rmd160_macctx mc;
  77
  78   /* --- Sanity check --- */
  79
  80   if (k) key_incref(k); else k = *kt;
  81   assert(((void)"Key data is already encrypted",
  82           (k->e & KF_ENCMASK) != KENC_ENCRYPT));
  83
  84   /* --- Format the stuff in the buffer --- */
  85
  86   DENSURE(&d, RMD160_HASHSZ * 2);
  87   rand_get(RAND_GLOBAL, d.buf, RMD160_HASHSZ);
  88   d.len += RMD160_HASHSZ * 2;
  89   key_encode(k, &d, 0);
  90   m = (octet *)d.buf + RMD160_HASHSZ * 2;
  91   msz = d.len - RMD160_HASHSZ * 2;
  92
  93   /* --- Hash the passphrase to make a key --- */
  94
  95   rmd160_mgfkeybegin(&r);
  96   rmd160_mgfkeyadd(&r, d.buf, RMD160_HASHSZ);
  97   rmd160_mgfkeyadd(&r, e, esz);
  98   rmd160_mgfencrypt(&r, 0, b, sizeof(b));
  99   BURN(r);
 100
 101   /* --- Encrypt the plaintext --- */
 102
 103   blowfish_cbcinit(&c, b, RMD160_HASHSZ, 0);
 104   blowfish_cbcencrypt(&c, m, m, msz);
 105   BURN(c);
 106
 107   /* --- MAC the ciphertext --- */
 108
 109   rmd160_hmacinit(&mk, b + RMD160_HASHSZ, RMD160_HASHSZ);
 110   rmd160_macinit(&mc, &mk);
 111   rmd160_machash(&mc, m, msz);
 112   rmd160_macdone(&mc, d.buf + RMD160_HASHSZ);
 113   BURN(mk);
 114   BURN(mc);
 115
 116   /* --- Done --- */
 117
 118   BURN(b);
 119   *kt = key_newencrypted(0, d.buf, d.len);
 120   key_drop(k);
 121   dstr_destroy(&d);
 122 }
 123
 124 /* --- @key_unlock@ --- *
 125  *
 126  * Arguments:   @key_data **kt@ = where to store the destination pointer
 127  *              @key_data *k@ = source key data block or null to use @*kt@
 128  *              @const void *e@ = secret to decrypt the block with
 129  *              @size_t esz@ = size of the secret
 130  *
 131  * Returns:     Zero for success, or a @KERR_@ error code.
 132  *
 133  * Use:         Unlocks a key using a secret.
 134  */
 135
 136 int key_unlock(key_data **kt, key_data *k, const void *e, size_t esz)
 137 {
 138   octet b[RMD160_HASHSZ * 2];
 139   octet *p = 0;
 140   int rc;
 141   int drop = 0;
 142   key_data *kd;
 143   rmd160_mgfctx r;
 144   blowfish_cbcctx c;
 145   rmd160_mackey mk;
 146   rmd160_macctx mc;
 147   size_t sz;
 148
 149   /* --- Sanity check --- */
 150
 151   if (!k) { k = *kt; drop = 1; }
 152   assert(((void)"Key data isn't encrypted",
 153           (k->e & KF_ENCMASK) == KENC_ENCRYPT));
 154
 155   /* --- Check the size --- */
 156
 157   if (k->u.k.sz < RMD160_HASHSZ * 2)
 158     return (KERR_MALFORMED);
 159   sz = k->u.k.sz - RMD160_HASHSZ * 2;
 160
 161   /* --- Hash the passphrase to make a key --- */
 162
 163   rmd160_mgfkeybegin(&r);
 164   rmd160_mgfkeyadd(&r, k->u.k.k, RMD160_HASHSZ);
 165   rmd160_mgfkeyadd(&r, e, esz);
 166   rmd160_mgfencrypt(&r, 0, b, sizeof(b));
 167   BURN(r);
 168
 169   /* --- Verify the MAC --- */
 170
 171   rmd160_hmacinit(&mk, b + RMD160_HASHSZ, RMD160_HASHSZ);
 172   rmd160_macinit(&mc, &mk);
 173   rmd160_machash(&mc, k->u.k.k + RMD160_HASHSZ * 2, sz);
 174   rmd160_macdone(&mc, b + RMD160_HASHSZ);
 175   if (memcmp(b + RMD160_HASHSZ, k->u.k.k + RMD160_HASHSZ,
 176              RMD160_HASHSZ) != 0) {
 177     rc = KERR_BADPASS;
 178     goto fail;
 179   }
 180   BURN(mk);
 181   BURN(mc);
 182
 183   /* --- Allocate a destination buffer --- */
 184
 185   p = xmalloc(sz);
 186
 187   /* --- Decrypt the key data --- */
 188
 189   blowfish_cbcinit(&c, b, RMD160_HASHSZ, 0);
 190   blowfish_cbcdecrypt(&c, k->u.k.k + RMD160_HASHSZ * 2, p, sz);
 191   BURN(c);
 192
 193   /* --- Decode the key data into the destination buffer --- */
 194
 195   if ((kd = key_decode(p, sz)) == 0) {
 196     rc = KERR_MALFORMED;
 197     goto fail;
 198   }
 199   *kt = kd;
 200
 201   /* --- Done --- */
 202
 203   xfree(p);
 204   if (drop) key_drop(k);
 205   return (0);
 206
 207   /* --- Tidy up if things went wrong --- */
 208
 209 fail:
 210   BURN(b);
 211   xfree(p);
 212   return (rc);
 213 }
 214
 215 /* --- @key_plock@ --- *
 216  *
 217  * Arguments:   @key_data **kt@ = where to store the destination pointer
 218  *              @key_data *k@ = source key data block or null to use @*kt@
 219  *              @const char *tag@ = tag to use for passphrase
 220  *
 221  * Returns:     Zero if successful, a @KERR@ error code on failure.
 222  *
 223  * Use:         Locks a key by encrypting it with a passphrase.
 224  */
 225
 226 int key_plock(key_data **kt, key_data *k, const char *tag)
 227 {
 228   char buf[256];
 229
 230   if (passphrase_read(tag, PMODE_VERIFY, buf, sizeof(buf)))
 231     return (KERR_IO);
 232   key_lock(kt, k, buf, strlen(buf));
 233   BURN(buf);
 234   return (0);
 235 }
 236
 237 /* --- @key_punlock@ --- *
 238  *
 239  * Arguments:   @key_data **kt@ = where to store the destination pointer
 240  *              @key_data *k@ = source key data block or null to use @*kt@
 241  *              @const char *tag@ = tag to use for passphrase
 242  *
 243  * Returns:     Zero if it worked, a @KERR_@ error code on failure.
 244  *
 245  * Use:         Unlocks a passphrase-locked key.
 246  */
 247
 248 int key_punlock(key_data **kt, key_data *k, const char *tag)
 249 {
 250   char buf[256];
 251   int rc;
 252
 253   if (passphrase_read(tag, PMODE_READ, buf, sizeof(buf)))
 254     return (KERR_IO);
 255   rc = key_unlock(kt, k, buf, strlen(buf));
 256   BURN(buf);
 257   if (rc == KERR_BADPASS || !k)
 258     passphrase_cancel(tag);
 259   return (rc);
 260 }
 261
 262 /*----- That's all, folks -------------------------------------------------*/