chiark / gitweb /
0c1ed829bddc80a73e09c2a20b6a50f802ec502b
[tripe] / server / keyexch.c
1 /* -*-c-*-
2  *
3  * Key exchange protocol
4  *
5  * (c) 2001 Straylight/Edgeware
6  */
7
8 /*----- Licensing notice --------------------------------------------------*
9  *
10  * This file is part of Trivial IP Encryption (TrIPE).
11  *
12  * TrIPE is free software; you can redistribute it and/or modify
13  * it under the terms of the GNU General Public License as published by
14  * the Free Software Foundation; either version 2 of the License, or
15  * (at your option) any later version.
16  *
17  * TrIPE is distributed in the hope that it will be useful,
18  * but WITHOUT ANY WARRANTY; without even the implied warranty of
19  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
20  * GNU General Public License for more details.
21  *
22  * You should have received a copy of the GNU General Public License
23  * along with TrIPE; if not, write to the Free Software Foundation,
24  * Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
25  */
26
27 /*----- Header files ------------------------------------------------------*/
28
29 #include "tripe.h"
30
31 /*----- Brief protocol overview -------------------------------------------*
32  *
33  * Let %$G$% be a cyclic group; let %$g$% be a generator of %$G$%, and let
34  * %$q$% be the order of %$G$%; for a key %$K$%, let %$E_K(\cdot)$% denote
35  * application of the symmetric packet protocol to a message; let
36  * %$H(\cdot)$% be the random oracle.  Let $\alpha \inr \{0,\ldots,q - 1\}$%
37  * be Alice's private key; let %$a = g^\alpha$% be her public key; let %$b$%
38  * be Bob's public key.
39  *
40  * At the beginning of the session, Alice chooses
41  *
42  *   %$\rho_A \inr \{0, \ldots q - 1\}$%
43  *
44  * We also have:
45  *
46  * %$r_A = g^{\rho_A}$%                 Alice's challenge
47  * %$c_A = H(\cookie{cookie}, r_A)$%    Alice's cookie
48  * %$v_A = \rho_A \xor H(\cookie{expected-reply}, a, r_A, r_B, b^{\rho_A})$%
49  *                                      Alice's challenge check value
50  * %$r_B^\alpha = a^{\rho_B}$%          Alice's reply
51  * %$K = r_B^{\rho_A} = r_B^{\rho_A} = g^{\rho_A\rho_B}$%
52  *                                      Alice and Bob's shared secret key
53  * %$w_A = H(\cookie{switch-request}, c_A, c_B)$%
54  *                                      Alice's switch request value
55  * %$u_A = H(\cookie{switch-confirm}, c_A, c_B)$%
56  *                                      Alice's switch confirm value
57  *
58  * The messages are then:
59  *
60  * %$\cookie{kx-pre-challenge}, r_A$%
61  *      Initial greeting.  In state @KXS_CHAL@.
62  *
63  * %$\cookie{kx-challenge}, r_A, c_B, v_A$%
64  *      Here's a full challenge for you to answer.
65  *
66  * %$\cookie{kx-reply}, r_A, c_B, v_A, E_K(r_B^\alpha))$%
67  *      Challenge accpeted: here's the answer.  Commit to my challenge.  Move
68  *      to @KXS_COMMIT@.
69  *
70  * %$\cookie{kx-switch-rq}, c_A, c_B, E_K(r_B^\alpha, w_A))$%
71  *      Reply received: here's my reply.  Committed; send data; move to
72  *      @KXS_SWITCH@.
73  *
74  * %$\cookie{kx-switch-ok}, E_K(u_A))$%
75  *      Switch received.  Committed; send data; move to @KXS_SWITCH@.
76  */
77
78 /*----- Static tables -----------------------------------------------------*/
79
80 static const char *const pkname[] = {
81   "pre-challenge", "challenge", "reply", "switch-rq", "switch-ok"
82 };
83
84 /*----- Various utilities -------------------------------------------------*/
85
86 /* --- @VALIDP@ --- *
87  *
88  * Arguments:   @const keyexch *kx@ = key exchange state
89  *              @time_t now@ = current time in seconds
90  *
91  * Returns:     Whether the challenge in the key-exchange state is still
92  *              valid or should be regenerated.
93  */
94
95 #define VALIDP(kx, now) ((now) < (kx)->t_valid)
96
97 /* --- @hashge@ --- *
98  *
99  * Arguments:   @ghash *h@ = pointer to hash context
100  *              @group *g@ = pointer to group
101  *              @ge *x@ = pointer to group element
102  *
103  * Returns:     ---
104  *
105  * Use:         Adds the hash of a group element to the context.  Corrupts
106  *              @buf_t@.
107  */
108
109 static void hashge(ghash *h, group *g, ge *x)
110 {
111   buf b;
112
113   buf_init(&b, buf_t, sizeof(buf_t));
114   G_TOBUF(g, &b, x);
115   assert(BOK(&b));
116   GH_HASH(h, BBASE(&b), BLEN(&b));
117 }
118
119 /* --- @mpmask@ --- *
120  *
121  * Arguments:   @buf *b@ = output buffer
122  *              @mp *x@ = the plaintext integer
123  *              @size_t n@ = the expected size of the plaintext
124  *              @gcipher *mgfc@ = mask-generating function to use
125  *              @const octet *k@ = pointer to key material
126  *              @size_t ksz@ = size of the key
127  *
128  * Returns:     ---
129  *
130  * Use:         Masks a multiprecision integer: returns %$x \xor H(k)$%, so
131  *              it's a random oracle thing rather than an encryption thing.
132  *              Breaks the output buffer on error.
133  */
134
135 static void mpmask(buf *b, mp *x, size_t n,
136                    const gccipher *mgfc, const octet *k, size_t ksz)
137 {
138   gcipher *mgf;
139   octet *p;
140
141   if ((p = buf_get(b, n)) == 0) return;
142   mgf = GC_INIT(mgfc, k, ksz);
143   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
144     trace(T_CRYPTO, "crypto: masking index = %s", mpstr(x));
145     trace_block(T_CRYPTO, "crypto: masking key", k, ksz);
146   }))
147   mp_storeb(x, buf_t, n);
148   GC_ENCRYPT(mgf, buf_t, p, n);
149   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
150     trace_block(T_CRYPTO, "crypto: index plaintext", buf_t, n);
151     trace_block(T_CRYPTO, "crypto: masked ciphertext", p, n);
152   }))
153   GC_DESTROY(mgf);
154 }
155
156 /* --- @mpunmask@ --- *
157  *
158  * Arguments:   @mp *d@ = the output integer
159  *              @const octet *p@ = pointer to the ciphertext
160  *              @size_t n@ = the size of the ciphertext
161  *              @gcipher *mgfc@ = mask-generating function to use
162  *              @const octet *k@ = pointer to key material
163  *              @size_t ksz@ = size of the key
164  *
165  * Returns:     The decrypted integer, or null.
166  *
167  * Use:         Unmasks a multiprecision integer.
168  */
169
170 static mp *mpunmask(mp *d, const octet *p, size_t n,
171                     const gccipher *mgfc, const octet *k, size_t ksz)
172 {
173   gcipher *mgf;
174
175   mgf = GC_INIT(mgfc, k, ksz);
176   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
177     trace_block(T_CRYPTO, "crypto: unmasking key", k, ksz);
178     trace_block(T_CRYPTO, "crypto: masked ciphertext", p, n);
179   }))
180   GC_DECRYPT(mgf, p, buf_t, n);
181   d = mp_loadb(d, buf_t, n);
182   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
183     trace_block(T_CRYPTO, "crypto: index plaintext", buf_t, n);
184     trace(T_CRYPTO, "crypto: unmasked index = %s", mpstr(d));
185   }))
186   GC_DESTROY(mgf);
187   return (d);
188 }
189
190 /* --- @hashcheck@ --- *
191  *
192  * Arguments:   @keyexch *kx@ = pointer to key-exchange block
193  *              @ge *kpub@ = sender's public key
194  *              @ge *cc@ = receiver's challenge
195  *              @ge *c@ = sender's challenge
196  *              @ge *y@ = reply to sender's challenge
197  *
198  * Returns:     Pointer to the hash value (in @buf_t@)
199  *
200  * Use:         Computes the check-value hash, used to mask or unmask
201  *              indices to prove the validity of challenges.  This computes
202  *              the masking key used in challenge check values.  This is
203  *              really the heart of the whole thing, since it ensures that
204  *              the index can be recovered from the history of hashing
205  *              queries, which gives us (a) a proof that the authentication
206  *              process is zero-knowledge, and (b) a proof that the whole
207  *              key-exchange is deniable.
208  */
209
210 static const octet *hashcheck(keyexch *kx, ge *kpub, ge *cc, ge *c, ge *y)
211 {
212   ghash *h = GH_INIT(kx->kpriv->algs.h);
213   group *g = kx->kpriv->g;
214
215   HASH_STRING(h, "tripe-expected-reply");
216   hashge(h, g, kpub);
217   hashge(h, g, cc);
218   hashge(h, g, c);
219   hashge(h, g, y);
220   GH_DONE(h, buf_t);
221   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
222     trace(T_CRYPTO, "crypto: computing challenge check hash");
223     trace(T_CRYPTO, "crypto: public key = %s", gestr(g, kpub));
224     trace(T_CRYPTO, "crypto: receiver challenge = %s", gestr(g, cc));
225     trace(T_CRYPTO, "crypto: sender challenge = %s", gestr(g, c));
226     trace(T_CRYPTO, "crypto: sender reply = %s", gestr(g, y));
227     trace_block(T_CRYPTO, "crypto: hash output", buf_t, kx->kpriv->algs.hashsz);
228   }))
229   GH_DESTROY(h);
230   return (buf_t);
231 }
232
233 /* --- @sendchallenge@ --- *
234  *
235  * Arguments:   @keyexch *kx@ = pointer to key exchange block
236  *              @buf *b@ = output buffer for challenge
237  *              @ge *c@ = peer's actual challenge
238  *              @const octet *hc@ = peer's challenge cookie
239  *
240  * Returns:     ---
241  *
242  * Use:         Writes a full challenge to the message buffer.
243  */
244
245 static void sendchallenge(keyexch *kx, buf *b, ge *c, const octet *hc)
246 {
247   G_TOBUF(kx->kpriv->g, b, kx->c);
248   buf_put(b, hc, kx->kpriv->algs.hashsz);
249   mpmask(b, kx->alpha, kx->kpriv->indexsz, kx->kpriv->algs.mgf,
250          hashcheck(kx, kx->kpriv->kpub, c, kx->c, kx->rx),
251          kx->kpriv->algs.hashsz);
252 }
253
254 /* --- @timer@ --- *
255  *
256  * Arguments:   @struct timeval *tv@ = the current time
257  *              @void *v@ = pointer to key exchange context
258  *
259  * Returns:     ---
260  *
261  * Use:         Acts when the key exchange timer goes off.
262  */
263
264 static void timer(struct timeval *tv, void *v)
265 {
266   keyexch *kx = v;
267   kx->f &= ~KXF_TIMER;
268   T( trace(T_KEYEXCH, "keyexch: timer has popped"); )
269   kx_start(kx, 0);
270 }
271
272 /* --- @settimer@ --- *
273  *
274  * Arguments:   @keyexch *kx@ = pointer to key exchange context
275  *              @struct timeval *tv@ = when to set the timer for
276  *
277  * Returns:     ---
278  *
279  * Use:         Sets the timer for the next key exchange attempt.
280  */
281
282 static void settimer(keyexch *kx, struct timeval *tv)
283 {
284   if (kx->f & KXF_TIMER) sel_rmtimer(&kx->t);
285   sel_addtimer(&sel, &kx->t, tv, timer, kx);
286   kx->f |= KXF_TIMER;
287 }
288
289 /* --- @f2tv@ --- *
290  *
291  * Arguments:   @struct timeval *tv@ = where to write the timeval
292  *              @double t@ = a time as a floating point number
293  *
294  * Returns:     ---
295  *
296  * Use:         Converts a floating-point time into a timeval.
297  */
298
299 static void f2tv(struct timeval *tv, double t)
300 {
301   tv->tv_sec = t;
302   tv->tv_usec = (t - tv->tv_sec)*MILLION;
303 }
304
305 /* --- @wobble@ --- *
306  *
307  * Arguments:   @double t@ = a time interval
308  *
309  * Returns:     The same time interval, with a random error applied.
310  */
311
312 static double wobble(double t)
313 {
314   uint32 r = rand_global.ops->word(&rand_global);
315   double w = (r/F_2P32) - 0.5;
316   return (t + t*w*T_WOBBLE);
317 }
318
319 /* --- @rs_time@ --- *
320  *
321  * Arguments:   @retry *rs@ = current retry state
322  *              @struct timeval *tv@ = where to write the result
323  *              @const struct timeval *now@ = current time, or null
324  *
325  * Returns:     ---
326  *
327  * Use:         Computes a time at which to retry sending a key-exchange
328  *              packet.  This algorithm is subject to change, but it's
329  *              currently a capped exponential backoff, slightly randomized
330  *              to try to keep clients from hammering a server that's only
331  *              just woken up.
332  *
333  *              If @now@ is null then the function works out the time for
334  *              itself.
335  */
336
337 static void rs_time(retry *rs, struct timeval *tv, const struct timeval *now)
338 {
339   double t;
340   struct timeval rtv;
341
342   if (!rs->t)
343     t = SEC(2);
344   else {
345     t = (rs->t * 5)/4;
346     if (t > MIN(5)) t = MIN(5);
347   }
348   rs->t = t;
349
350   if (!now) {
351     now = tv;
352     gettimeofday(tv, 0);
353   }
354   f2tv(&rtv, wobble(t));
355   TV_ADD(tv, now, &rtv);
356 }
357
358 /* --- @retry_reset@ --- *
359  *
360  * Arguments:   @retry *rs@ = retry state
361  *
362  * Returns:     --
363  *
364  * Use:         Resets a retry state to indicate that progress has been
365  *              made.  Also useful for initializing the state in the first
366  *              place.
367  */
368
369 static void rs_reset(retry *rs) { rs->t = 0; }
370
371 /*----- Challenge management ----------------------------------------------*/
372
373 /* --- Notes on challenge management --- *
374  *
375  * We may get multiple different replies to our key exchange; some will be
376  * correct, some inserted by attackers.  Up until @KX_THRESH@, all challenges
377  * received will be added to the table and given a full response.  After
378  * @KX_THRESH@ distinct challenges are received, we return only a `cookie':
379  * our existing challenge, followed by a hash of the sender's challenge.  We
380  * do %%\emph{not}%% give a bare challenge a reply slot at this stage.  All
381  * properly-formed cookies are assigned a table slot: if none is spare, a
382  * used slot is randomly selected and destroyed.  A cookie always receives a
383  * full reply.
384  */
385
386 /* --- @kxc_destroy@ --- *
387  *
388  * Arguments:   @kxchal *kxc@ = pointer to the challenge block
389  *
390  * Returns:     ---
391  *
392  * Use:         Disposes of a challenge block.
393  */
394
395 static void kxc_destroy(kxchal *kxc)
396 {
397   if (kxc->f & KXF_TIMER)
398     sel_rmtimer(&kxc->t);
399   G_DESTROY(kxc->kx->kpriv->g, kxc->c);
400   G_DESTROY(kxc->kx->kpriv->g, kxc->r);
401   ks_drop(kxc->ks);
402   DESTROY(kxc);
403 }
404
405 /* --- @kxc_stoptimer@ --- *
406  *
407  * Arguments:   @kxchal *kxc@ = pointer to the challenge block
408  *
409  * Returns:     ---
410  *
411  * Use:         Stops the challenge's retry timer from sending messages.
412  *              Useful when the state machine is in the endgame of the
413  *              exchange.
414  */
415
416 static void kxc_stoptimer(kxchal *kxc)
417 {
418   if (kxc->f & KXF_TIMER)
419     sel_rmtimer(&kxc->t);
420   kxc->f &= ~KXF_TIMER;
421 }
422
423 /* --- @kxc_new@ --- *
424  *
425  * Arguments:   @keyexch *kx@ = pointer to key exchange block
426  *
427  * Returns:     A pointer to the challenge block.
428  *
429  * Use:         Returns a pointer to a new challenge block to fill in.
430  *              In particular, the @c@ and @r@ members are left
431  *              uninitialized.
432  */
433
434 static kxchal *kxc_new(keyexch *kx)
435 {
436   kxchal *kxc;
437   unsigned i;
438
439   /* --- If we're over reply threshold, discard one at random --- */
440
441   if (kx->nr < KX_NCHAL)
442     i = kx->nr++;
443   else {
444     i = rand_global.ops->range(&rand_global, KX_NCHAL);
445     kxc_destroy(kx->r[i]);
446   }
447
448   /* --- Fill in the new structure --- */
449
450   kxc = CREATE(kxchal);
451   kxc->ks = 0;
452   kxc->kx = kx;
453   kxc->f = 0;
454   kx->r[i] = kxc;
455   rs_reset(&kxc->rs);
456   return (kxc);
457 }
458
459 /* --- @kxc_bychal@ --- *
460  *
461  * Arguments:   @keyexch *kx@ = pointer to key exchange block
462  *              @ge *c@ = challenge from remote host
463  *
464  * Returns:     Pointer to the challenge block, or null.
465  *
466  * Use:         Finds a challenge block, given its challenge.
467  */
468
469 static kxchal *kxc_bychal(keyexch *kx, ge *c)
470 {
471   unsigned i;
472
473   for (i = 0; i < kx->nr; i++) {
474     if (G_EQ(kx->kpriv->g, c, kx->r[i]->c))
475       return (kx->r[i]);
476   }
477   return (0);
478 }
479
480 /* --- @kxc_byhc@ --- *
481  *
482  * Arguments:   @keyexch *kx@ = pointer to key exchange block
483  *              @const octet *hc@ = challenge hash from remote host
484  *
485  * Returns:     Pointer to the challenge block, or null.
486  *
487  * Use:         Finds a challenge block, given a hash of its challenge.
488  */
489
490 static kxchal *kxc_byhc(keyexch *kx, const octet *hc)
491 {
492   unsigned i;
493
494   for (i = 0; i < kx->nr; i++) {
495     if (memcmp(hc, kx->r[i]->hc, kx->kpriv->algs.hashsz) == 0)
496       return (kx->r[i]);
497   }
498   return (0);
499 }
500
501 /* --- @kxc_answer@ --- *
502  *
503  * Arguments:   @keyexch *kx@ = pointer to key exchange block
504  *              @kxchal *kxc@ = pointer to challenge block
505  *
506  * Returns:     ---
507  *
508  * Use:         Sends a reply to the remote host, according to the data in
509  *              this challenge block.
510  */
511
512 static void kxc_answer(keyexch *kx, kxchal *kxc);
513
514 static void kxc_timer(struct timeval *tv, void *v)
515 {
516   kxchal *kxc = v;
517   kxc->f &= ~KXF_TIMER;
518   kxc_answer(kxc->kx, kxc);
519 }
520
521 static void kxc_answer(keyexch *kx, kxchal *kxc)
522 {
523   stats *st = p_stats(kx->p);
524   buf *b = p_txstart(kx->p, MSG_KEYEXCH | KX_REPLY);
525   struct timeval tv;
526   buf bb;
527
528   /* --- Build the reply packet --- */
529
530   T( trace(T_KEYEXCH, "keyexch: sending reply to `%s'", p_name(kx->p)); )
531   sendchallenge(kx, b, kxc->c, kxc->hc);
532   buf_init(&bb, buf_i, sizeof(buf_i));
533   G_TORAW(kx->kpriv->g, &bb, kxc->r);
534   buf_flip(&bb);
535   ks_encrypt(kxc->ks, MSG_KEYEXCH | KX_REPLY, &bb, b);
536
537   /* --- Update the statistics --- */
538
539   if (BOK(b)) {
540     st->n_kxout++;
541     st->sz_kxout += BLEN(b);
542     p_txend(kx->p);
543   }
544
545   /* --- Schedule another resend --- */
546
547   if (kxc->f & KXF_TIMER)
548     sel_rmtimer(&kxc->t);
549   gettimeofday(&tv, 0);
550   rs_time(&kxc->rs, &tv, &tv);
551   sel_addtimer(&sel, &kxc->t, &tv, kxc_timer, kxc);
552   kxc->f |= KXF_TIMER;
553 }
554
555 /*----- Individual message handlers ---------------------------------------*/
556
557 /* --- @doprechallenge@ --- *
558  *
559  * Arguments:   @keyexch *kx@ = pointer to key exchange block
560  *              @buf *b@ = buffer containing the packet
561  *
562  * Returns:     Zero if OK, nonzero of the packet was rejected.
563  *
564  * Use:         Processes a pre-challenge message.
565  */
566
567 static int doprechallenge(keyexch *kx, buf *b)
568 {
569   stats *st = p_stats(kx->p);
570   ge *c = G_CREATE(kx->kpriv->g);
571   ghash *h;
572
573   /* --- Ensure that we're in a sensible state --- */
574
575   if (kx->s != KXS_CHAL) {
576     a_warn("KX", "?PEER", kx->p, "unexpected", "pre-challenge", A_END);
577     goto bad;
578   }
579
580   /* --- Unpack the packet --- */
581
582   if (G_FROMBUF(kx->kpriv->g, b, c) || BLEFT(b))
583     goto bad;
584
585   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
586     trace(T_CRYPTO, "crypto: challenge = %s", gestr(kx->kpriv->g, c));
587   }))
588
589   /* --- Send out a full challenge by return --- */
590
591   b = p_txstart(kx->p, MSG_KEYEXCH | KX_CHAL);
592   h = GH_INIT(kx->kpriv->algs.h);
593   HASH_STRING(h, "tripe-cookie");
594   hashge(h, kx->kpriv->g, c);
595   sendchallenge(kx, b, c, GH_DONE(h, 0));
596   GH_DESTROY(h);
597   st->n_kxout++;
598   st->sz_kxout += BLEN(b);
599   p_txend(kx->p);
600
601   /* --- Done --- */
602
603   G_DESTROY(kx->kpriv->g, c);
604   return (0);
605
606 bad:
607   if (c) G_DESTROY(kx->kpriv->g, c);
608   return (-1);
609 }
610
611 /* --- @respond@ --- *
612  *
613  * Arguments:   @keyexch *kx@ = pointer to key exchange block
614  *              @unsigned msg@ = message code for this packet
615  *              @buf *b@ = buffer containing the packet
616  *
617  * Returns:     Key-exchange challenge block, or null.
618  *
619  * Use:         Computes a response for the given challenge, entering it into
620  *              a challenge block and so on.
621  */
622
623 static kxchal *respond(keyexch *kx, unsigned msg, buf *b)
624 {
625   group *g = kx->kpriv->g;
626   const algswitch *algs = &kx->kpriv->algs;
627   size_t ixsz = kx->kpriv->indexsz;
628   ge *c = G_CREATE(g);
629   ge *r = G_CREATE(g);
630   ge *cc = G_CREATE(g);
631   const octet *hc, *ck;
632   size_t x, y, z;
633   mp *cv = 0;
634   kxchal *kxc;
635   ghash *h = 0;
636   buf bb;
637   int ok;
638
639   /* --- Unpack the packet --- */
640
641   if (G_FROMBUF(g, b, c) ||
642       (hc = buf_get(b, algs->hashsz)) == 0 ||
643       (ck = buf_get(b, ixsz)) == 0) {
644     a_warn("KX", "?PEER", kx->p, "invalid", "%s", pkname[msg], A_END);
645     goto bad;
646   }
647   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
648     trace(T_CRYPTO, "crypto: challenge = %s", gestr(g, c));
649     trace_block(T_CRYPTO, "crypto: cookie", hc, algs->hashsz);
650     trace_block(T_CRYPTO, "crypto: check-value", ck, ixsz);
651   }))
652
653   /* --- Discard a packet with an invalid cookie --- */
654
655   if (hc && memcmp(hc, kx->hc, algs->hashsz) != 0) {
656     a_warn("KX", "?PEER", kx->p, "incorrect", "cookie", A_END);
657     goto bad;
658   }
659
660   /* --- Recover the check value and verify it --- *
661    *
662    * To avoid recomputation on replays, we store a hash of the `right'
663    * value.  The `correct' value is unique, so this is right.
664    *
665    * This will also find a challenge block and, if necessary, populate it.
666    */
667
668   if ((kxc = kxc_bychal(kx, c)) != 0) {
669     h = GH_INIT(algs->h);
670     HASH_STRING(h, "tripe-check-hash");
671     GH_HASH(h, ck, ixsz);
672     ok = !memcmp(kxc->ck, GH_DONE(h, 0), algs->hashsz);
673     GH_DESTROY(h);
674     if (!ok) goto badcheck;
675   } else {
676
677     /* --- Compute the reply, and check the magic --- */
678
679     G_EXP(g, r, c, kx->kpriv->kpriv);
680     if ((cv = mpunmask(MP_NEW, ck, ixsz, algs->mgf,
681                        hashcheck(kx, kx->kpub->kpub, kx->c, c, r),
682                        algs->hashsz)) == 0)
683       goto badcheck;
684     IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
685       trace(T_CRYPTO, "crypto: computed reply = %s", gestr(g, r));
686       trace(T_CRYPTO, "crypto: recovered log = %s", mpstr(cv));
687     }))
688     if (MP_CMP(cv, >, g->r) ||
689         (G_EXP(g, cc, g->g, cv),
690          !G_EQ(g, c, cc)))
691       goto badcheck;
692
693     /* --- Fill in a new challenge block --- */
694
695     kxc = kxc_new(kx);
696     kxc->c = c; c = 0;
697     kxc->r = r; r = G_CREATE(g);
698
699     h = GH_INIT(algs->h); HASH_STRING(h, "tripe-check-hash");
700     GH_HASH(h, ck, ixsz);
701     GH_DONE(h, kxc->ck); GH_DESTROY(h);
702
703     h = GH_INIT(algs->h); HASH_STRING(h, "tripe-cookie");
704     hashge(h, g, kxc->c);
705     GH_DONE(h, kxc->hc); GH_DESTROY(h);
706
707     IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
708       trace_block(T_CRYPTO, "crypto: computed cookie",
709                   kxc->hc, algs->hashsz);
710     }))
711
712     /* --- Work out the shared key --- */
713
714     G_EXP(g, r, kxc->c, kx->alpha);
715     IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
716       trace(T_CRYPTO, "crypto: shared secret = %s", gestr(g, r));
717     }))
718
719     /* --- Compute the switch messages --- */
720
721     h = GH_INIT(algs->h); HASH_STRING(h, "tripe-switch-request");
722     hashge(h, g, kx->c); hashge(h, g, kxc->c);
723     GH_DONE(h, kxc->hswrq_out); GH_DESTROY(h);
724     h = GH_INIT(algs->h); HASH_STRING(h, "tripe-switch-confirm");
725     hashge(h, g, kx->c); hashge(h, g, kxc->c);
726     GH_DONE(h, kxc->hswok_out); GH_DESTROY(h);
727
728     h = GH_INIT(algs->h); HASH_STRING(h, "tripe-switch-request");
729     hashge(h, g, kxc->c); hashge(h, g, kx->c);
730     GH_DONE(h, kxc->hswrq_in); GH_DESTROY(h);
731     h = GH_INIT(algs->h); HASH_STRING(h, "tripe-switch-confirm");
732     hashge(h, g, kxc->c); hashge(h, g, kx->c);
733     GH_DONE(h, kxc->hswok_in); GH_DESTROY(h);
734
735     IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
736       trace_block(T_CRYPTO, "crypto: outbound switch request",
737                   kxc->hswrq_out, algs->hashsz);
738       trace_block(T_CRYPTO, "crypto: outbound switch confirm",
739                   kxc->hswok_out, algs->hashsz);
740       trace_block(T_CRYPTO, "crypto: inbound switch request",
741                   kxc->hswrq_in, algs->hashsz);
742       trace_block(T_CRYPTO, "crypto: inbound switch confirm",
743                   kxc->hswok_in, algs->hashsz);
744     }))
745
746     /* --- Create a new symmetric keyset --- */
747
748     buf_init(&bb, buf_o, sizeof(buf_o));
749     G_TOBUF(g, &bb, kx->c); x = BLEN(&bb);
750     G_TOBUF(g, &bb, kxc->c); y = BLEN(&bb);
751     G_TOBUF(g, &bb, r); z = BLEN(&bb);
752     assert(BOK(&bb));
753
754     kxc->ks = ks_gen(BBASE(&bb), x, y, z, kx->p);
755   }
756
757   if (c) G_DESTROY(g, c);
758   G_DESTROY(g, cc);
759   G_DESTROY(g, r);
760   mp_drop(cv);
761   return (kxc);
762
763 badcheck:
764   a_warn("KX", "?PEER", kx->p, "bad-expected-reply-log", A_END);
765   goto bad;
766 bad:
767   if (c) G_DESTROY(g, c);
768   G_DESTROY(g, cc);
769   G_DESTROY(g, r);
770   mp_drop(cv);
771   return (0);
772 }
773
774 /* --- @dochallenge@ --- *
775  *
776  * Arguments:   @keyexch *kx@ = pointer to key exchange block
777  *              @unsigned msg@ = message code for the packet
778  *              @buf *b@ = buffer containing the packet
779  *
780  * Returns:     Zero if OK, nonzero if the packet was rejected.
781  *
782  * Use:         Processes a packet containing a challenge.
783  */
784
785 static int dochallenge(keyexch *kx, buf *b)
786 {
787   kxchal *kxc;
788
789   if (kx->s != KXS_CHAL) {
790     a_warn("KX", "?PEER", kx->p, "unexpected", "challenge", A_END);
791     goto bad;
792   }
793   if ((kxc = respond(kx, KX_CHAL, b)) == 0)
794     goto bad;
795   if (BLEFT(b)) {
796     a_warn("KX", "?PEER", kx->p, "invalid", "challenge", A_END);
797     goto bad;
798   }
799   kxc_answer(kx, kxc);
800   return (0);
801
802 bad:
803   return (-1);
804 }
805
806 /* --- @resend@ --- *
807  *
808  * Arguments:   @keyexch *kx@ = pointer to key exchange context
809  *
810  * Returns:     ---
811  *
812  * Use:         Sends the next message for a key exchange.
813  */
814
815 static void resend(keyexch *kx)
816 {
817   kxchal *kxc;
818   buf bb;
819   stats *st = p_stats(kx->p);
820   struct timeval tv;
821   buf *b;
822
823   switch (kx->s) {
824     case KXS_CHAL:
825       T( trace(T_KEYEXCH, "keyexch: sending prechallenge to `%s'",
826                p_name(kx->p)); )
827       b = p_txstart(kx->p, MSG_KEYEXCH | KX_PRECHAL);
828       G_TOBUF(kx->kpriv->g, b, kx->c);
829       break;
830     case KXS_COMMIT:
831       T( trace(T_KEYEXCH, "keyexch: sending switch request to `%s'",
832                p_name(kx->p)); )
833       kxc = kx->r[0];
834       b = p_txstart(kx->p, MSG_KEYEXCH | KX_SWITCH);
835       buf_put(b, kx->hc, kx->kpriv->algs.hashsz);
836       buf_put(b, kxc->hc, kx->kpriv->algs.hashsz);
837       buf_init(&bb, buf_i, sizeof(buf_i));
838       G_TORAW(kx->kpriv->g, &bb, kxc->r);
839       buf_put(&bb, kxc->hswrq_out, kx->kpriv->algs.hashsz);
840       buf_flip(&bb);
841       ks_encrypt(kxc->ks, MSG_KEYEXCH | KX_SWITCH, &bb, b);
842       break;
843     case KXS_SWITCH:
844       T( trace(T_KEYEXCH, "keyexch: sending switch confirmation to `%s'",
845                p_name(kx->p)); )
846       kxc = kx->r[0];
847       b = p_txstart(kx->p, MSG_KEYEXCH | KX_SWITCHOK);
848       buf_init(&bb, buf_i, sizeof(buf_i));
849       buf_put(&bb, kxc->hswok_out, kx->kpriv->algs.hashsz);
850       buf_flip(&bb);
851       ks_encrypt(kxc->ks, MSG_KEYEXCH | KX_SWITCHOK, &bb, b);
852       break;
853     default:
854       abort();
855   }
856
857   if (BOK(b)) {
858     st->n_kxout++;
859     st->sz_kxout += BLEN(b);
860     p_txend(kx->p);
861   }
862
863   if (kx->s < KXS_SWITCH) {
864     rs_time(&kx->rs, &tv, 0);
865     settimer(kx, &tv);
866   }
867 }
868
869 /* --- @decryptrest@ --- *
870  *
871  * Arguments:   @keyexch *kx@ = pointer to key exchange context
872  *              @kxchal *kxc@ = pointer to challenge block
873  *              @unsigned msg@ = type of incoming message
874  *              @buf *b@ = encrypted remainder of the packet
875  *
876  * Returns:     Zero if OK, nonzero on some kind of error.
877  *
878  * Use:         Decrypts the remainder of the packet, and points @b@ at the
879  *              recovered plaintext.
880  */
881
882 static int decryptrest(keyexch *kx, kxchal *kxc, unsigned msg, buf *b)
883 {
884   buf bb;
885
886   buf_init(&bb, buf_o, sizeof(buf_o));
887   if (ks_decrypt(kxc->ks, MSG_KEYEXCH | msg, b, &bb)) {
888     a_warn("KX", "?PEER", kx->p, "decrypt-failed", "%s", pkname[msg], A_END);
889     return (-1);
890   }
891   if (!BOK(&bb)) return (-1);
892   buf_init(b, BBASE(&bb), BLEN(&bb));
893   return (0);
894 }
895
896 /* --- @checkresponse@ --- *
897  *
898  * Arguments:   @keyexch *kx@ = pointer to key exchange context
899  *              @unsigned msg@ = type of incoming message
900  *              @buf *b@ = decrypted remainder of the packet
901  *
902  * Returns:     Zero if OK, nonzero on some kind of error.
903  *
904  * Use:         Checks a reply or switch packet, ensuring that its response
905  *              is correct.
906  */
907
908 static int checkresponse(keyexch *kx, unsigned msg, buf *b)
909 {
910   group *g = kx->kpriv->g;
911   ge *r = G_CREATE(g);
912
913   if (G_FROMRAW(g, b, r)) {
914     a_warn("KX", "?PEER", kx->p, "invalid", "%s", pkname[msg], A_END);
915     goto bad;
916   }
917   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
918     trace(T_CRYPTO, "crypto: reply = %s", gestr(g, r));
919   }))
920   if (!G_EQ(g, r, kx->rx)) {
921     a_warn("KX", "?PEER", kx->p, "incorrect", "response", A_END);
922     goto bad;
923   }
924
925   G_DESTROY(g, r);
926   return (0);
927
928 bad:
929   G_DESTROY(g, r);
930   return (-1);
931 }
932
933 /* --- @commit@ --- *
934  *
935  * Arguments:   @keyexch *kx@ = pointer to key exchange context
936  *              @kxchal *kxc@ = pointer to challenge to commit to
937  *
938  * Returns:     ---
939  *
940  * Use:         Commits to a particular challenge as being the `right' one,
941  *              since a reply has arrived for it.
942  */
943
944 static void commit(keyexch *kx, kxchal *kxc)
945 {
946   unsigned i;
947
948   for (i = 0; i < kx->nr; i++) {
949     if (kx->r[i] != kxc)
950       kxc_destroy(kx->r[i]);
951   }
952   kx->r[0] = kxc;
953   kx->nr = 1;
954   kxc_stoptimer(kxc);
955   ksl_link(kx->ks, kxc->ks);
956 }
957
958 /* --- @doreply@ --- *
959  *
960  * Arguments:   @keyexch *kx@ = pointer to key exchange context
961  *              @buf *b@ = buffer containing packet
962  *
963  * Returns:     Zero if OK, nonzero if the packet was rejected.
964  *
965  * Use:         Handles a reply packet.  This doesn't handle the various
966  *              switch packets: they're rather too different.
967  */
968
969 static int doreply(keyexch *kx, buf *b)
970 {
971   kxchal *kxc;
972
973   if (kx->s != KXS_CHAL && kx->s != KXS_COMMIT) {
974     a_warn("KX", "?PEER", kx->p, "unexpected", "reply", A_END);
975     goto bad;
976   }
977   if ((kxc = respond(kx, KX_REPLY, b)) == 0 ||
978       decryptrest(kx, kxc, KX_REPLY, b) ||
979       checkresponse(kx, KX_REPLY, b))
980     goto bad;
981   if (BLEFT(b)) {
982     a_warn("KX", "?PEER", kx->p, "invalid", "reply", A_END);
983     goto bad;
984   }
985   if (kx->s == KXS_CHAL) {
986     commit(kx, kxc);
987     kx->s = KXS_COMMIT;
988   }
989   resend(kx);
990   return (0);
991
992 bad:
993   return (-1);
994 }
995
996 /* --- @kxfinish@ --- *
997  *
998  * Arguments:   @keyexch *kx@ = pointer to key exchange block
999  *
1000  * Returns:     ---
1001  *
1002  * Use:         Sets everything up following a successful key exchange.
1003  */
1004
1005 static void kxfinish(keyexch *kx)
1006 {
1007   kxchal *kxc = kx->r[0];
1008   struct timeval now, tv;
1009
1010   ks_activate(kxc->ks);
1011   gettimeofday(&now, 0);
1012   f2tv(&tv, wobble(T_REGEN));
1013   TV_ADD(&tv, &now, &tv);
1014   settimer(kx, &tv);
1015   kx->s = KXS_SWITCH;
1016   a_notify("KXDONE", "?PEER", kx->p, A_END);
1017   p_stats(kx->p)->t_kx = time(0);
1018 }
1019
1020 /* --- @doswitch@ --- *
1021  *
1022  * Arguments:   @keyexch *kx@ = pointer to key exchange block
1023  *              @buf *b@ = pointer to buffer containing packet
1024  *
1025  * Returns:     Zero if OK, nonzero if the packet was rejected.
1026  *
1027  * Use:         Handles a reply with a switch request bolted onto it.
1028  */
1029
1030 static int doswitch(keyexch *kx, buf *b)
1031 {
1032   size_t hsz = kx->kpriv->algs.hashsz;
1033   const octet *hc_in, *hc_out, *hswrq;
1034   kxchal *kxc;
1035
1036   if ((hc_in = buf_get(b, hsz)) == 0 ||
1037       (hc_out = buf_get(b, hsz)) == 0) {
1038     a_warn("KX", "?PEER", kx->p, "invalid", "switch-rq", A_END);
1039     goto bad;
1040   }
1041   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
1042     trace_block(T_CRYPTO, "crypto: challenge", hc_in, hsz);
1043     trace_block(T_CRYPTO, "crypto: cookie", hc_out, hsz);
1044   }))
1045   if ((kxc = kxc_byhc(kx, hc_in)) == 0 ||
1046       memcmp(hc_out, kx->hc, hsz) != 0) {
1047     a_warn("KX", "?PEER", kx->p, "incorrect", "switch-rq", A_END);
1048     goto bad;
1049   }
1050   if (decryptrest(kx, kxc, KX_SWITCH, b) ||
1051       checkresponse(kx, KX_SWITCH, b))
1052     goto bad;
1053   if ((hswrq = buf_get(b, hsz)) == 0 || BLEFT(b)) {
1054     a_warn("KX", "?PEER", kx->p, "invalid", "switch-rq", A_END);
1055     goto bad;
1056   }
1057   IF_TRACING(T_KEYEXCH, {
1058     trace_block(T_CRYPTO, "crypto: switch request hash", hswrq, hsz);
1059   })
1060   if (memcmp(hswrq, kxc->hswrq_in, hsz) != 0) {
1061     a_warn("KX", "?PEER", kx->p, "incorrect", "switch-rq", A_END);
1062     goto bad;
1063   }
1064   if (kx->s == KXS_CHAL)
1065     commit(kx, kxc);
1066   if (kx->s < KXS_SWITCH)
1067     kxfinish(kx);
1068   resend(kx);
1069   return (0);
1070
1071 bad:
1072   return (-1);
1073 }
1074
1075 /* --- @doswitchok@ --- *
1076  *
1077  * Arguments:   @keyexch *kx@ = pointer to key exchange block
1078  *              @buf *b@ = pointer to buffer containing packet
1079  *
1080  * Returns:     Zero if OK, nonzero if the packet was rejected.
1081  *
1082  * Use:         Handles a reply with a switch request bolted onto it.
1083  */
1084
1085 static int doswitchok(keyexch *kx, buf *b)
1086 {
1087   size_t hsz = kx->kpriv->algs.hashsz;
1088   const octet *hswok;
1089   kxchal *kxc;
1090   buf bb;
1091
1092   if (kx->s < KXS_COMMIT) {
1093     a_warn("KX", "?PEER", kx->p, "unexpected", "switch-ok", A_END);
1094     goto bad;
1095   }
1096   kxc = kx->r[0];
1097   buf_init(&bb, buf_o, sizeof(buf_o));
1098   if (decryptrest(kx, kxc, KX_SWITCHOK, b))
1099     goto bad;
1100   if ((hswok = buf_get(b, hsz)) == 0 || BLEFT(b)) {
1101     a_warn("KX", "?PEER", kx->p, "invalid", "switch-ok", A_END);
1102     goto bad;
1103   }
1104   IF_TRACING(T_KEYEXCH, {
1105     trace_block(T_CRYPTO, "crypto: switch confirmation hash",
1106                 hswok, hsz);
1107   })
1108   if (memcmp(hswok, kxc->hswok_in, hsz) != 0) {
1109     a_warn("KX", "?PEER", kx->p, "incorrect", "switch-ok", A_END);
1110     goto bad;
1111   }
1112   if (kx->s < KXS_SWITCH)
1113     kxfinish(kx);
1114   return (0);
1115
1116 bad:
1117   return (-1);
1118 }
1119
1120 /*----- Main code ---------------------------------------------------------*/
1121
1122 /* --- @stop@ --- *
1123  *
1124  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1125  *
1126  * Returns:     ---
1127  *
1128  * Use:         Stops a key exchange dead in its tracks.  Throws away all of
1129  *              the context information.  The context is left in an
1130  *              inconsistent state.  The only functions which understand this
1131  *              state are @kx_free@ and @kx_init@ (which cause it internally
1132  *              it), and @start@ (which expects it to be the prevailing
1133  *              state).
1134  */
1135
1136 static void stop(keyexch *kx)
1137 {
1138   unsigned i;
1139
1140   if (kx->f & KXF_DEAD)
1141     return;
1142
1143   if (kx->f & KXF_TIMER)
1144     sel_rmtimer(&kx->t);
1145   for (i = 0; i < kx->nr; i++)
1146     kxc_destroy(kx->r[i]);
1147   mp_drop(kx->alpha);
1148   G_DESTROY(kx->kpriv->g, kx->c);
1149   G_DESTROY(kx->kpriv->g, kx->rx);
1150   kx->t_valid = 0;
1151   kx->f |= KXF_DEAD;
1152   kx->f &= ~KXF_TIMER;
1153 }
1154
1155 /* --- @start@ --- *
1156  *
1157  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1158  *              @time_t now@ = the current time
1159  *
1160  * Returns:     ---
1161  *
1162  * Use:         Starts a new key exchange with the peer.  The context must be
1163  *              in the bizarre state left by @stop@ or @kx_init@.
1164  */
1165
1166 static void start(keyexch *kx, time_t now)
1167 {
1168   algswitch *algs = &kx->kpriv->algs;
1169   group *g = kx->kpriv->g;
1170   ghash *h;
1171
1172   assert(kx->f & KXF_DEAD);
1173
1174   kx->f &= ~(KXF_DEAD | KXF_CORK);
1175   kx->nr = 0;
1176   kx->alpha = mprand_range(MP_NEW, g->r, &rand_global, 0);
1177   kx->c = G_CREATE(g); G_EXP(g, kx->c, g->g, kx->alpha);
1178   kx->rx = G_CREATE(g); G_EXP(g, kx->rx, kx->kpub->kpub, kx->alpha);
1179   kx->s = KXS_CHAL;
1180   kx->t_valid = now + T_VALID;
1181
1182   h = GH_INIT(algs->h);
1183   HASH_STRING(h, "tripe-cookie");
1184   hashge(h, g, kx->c);
1185   GH_DONE(h, kx->hc);
1186   GH_DESTROY(h);
1187
1188   IF_TRACING(T_KEYEXCH, {
1189     trace(T_KEYEXCH, "keyexch: creating new challenge");
1190     IF_TRACING(T_CRYPTO, {
1191       trace(T_CRYPTO, "crypto: secret = %s", mpstr(kx->alpha));
1192       trace(T_CRYPTO, "crypto: challenge = %s", gestr(g, kx->c));
1193       trace(T_CRYPTO, "crypto: expected response = %s", gestr(g, kx->rx));
1194       trace_block(T_CRYPTO, "crypto: challenge cookie",
1195                   kx->hc, algs->hashsz);
1196     })
1197   })
1198 }
1199
1200 /* --- @checkpub@ --- *
1201  *
1202  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1203  *
1204  * Returns:     Zero if OK, nonzero if the peer's public key has expired.
1205  *
1206  * Use:         Deactivates the key-exchange until the peer acquires a new
1207  *              public key.
1208  */
1209
1210 static int checkpub(keyexch *kx)
1211 {
1212   time_t now;
1213   unsigned f = 0;
1214
1215   if (kx->f & KXF_DEAD)
1216     return (-1);
1217   now = time(0);
1218   if (KEY_EXPIRED(now, kx->kpriv->t_exp)) f |= 1;
1219   if (KEY_EXPIRED(now, kx->kpub->t_exp)) f |= 2;
1220   if (f) {
1221     stop(kx);
1222     if (f & 1) a_warn("KX", "?PEER", kx->p, "private-key-expired", A_END);
1223     if (f & 2) a_warn("KX", "?PEER", kx->p, "public-key-expired", A_END);
1224     kx->f &= ~KXF_PUBKEY;
1225     return (-1);
1226   }
1227   return (0);
1228 }
1229
1230 /* --- @kx_start@ --- *
1231  *
1232  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1233  *              @int forcep@ = nonzero to ignore the quiet timer
1234  *
1235  * Returns:     ---
1236  *
1237  * Use:         Stimulates a key exchange.  If a key exchage is in progress,
1238  *              a new challenge is sent (unless the quiet timer forbids
1239  *              this); if no exchange is in progress, one is commenced.
1240  */
1241
1242 void kx_start(keyexch *kx, int forcep)
1243 {
1244   time_t now = time(0);
1245
1246   if (checkpub(kx))
1247     return;
1248   if (forcep || !VALIDP(kx, now)) {
1249     stop(kx);
1250     start(kx, now);
1251     a_notify("KXSTART", "?PEER", kx->p, A_END);
1252   }
1253   resend(kx);
1254 }
1255
1256 /* --- @kx_message@ --- *
1257  *
1258  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1259  *              @unsigned msg@ = the message code
1260  *              @buf *b@ = pointer to buffer containing the packet
1261  *
1262  * Returns:     ---
1263  *
1264  * Use:         Reads a packet containing key exchange messages and handles
1265  *              it.
1266  */
1267
1268 void kx_message(keyexch *kx, unsigned msg, buf *b)
1269 {
1270   struct timeval now, tv;
1271   stats *st = p_stats(kx->p);
1272   size_t sz = BSZ(b);
1273   int rc;
1274
1275   gettimeofday(&now, 0);
1276   rs_reset(&kx->rs);
1277   if (kx->f & KXF_CORK) {
1278     start(kx, now.tv_sec);
1279     rs_time(&kx->rs, &tv, &now);
1280     settimer(kx, &tv);
1281     a_notify("KXSTART", "?PEER", kx->p, A_END);
1282   }
1283
1284   if (checkpub(kx))
1285     return;
1286
1287   if (!VALIDP(kx, now.tv_sec)) {
1288     stop(kx);
1289     start(kx, now.tv_sec);
1290   }
1291   T( trace(T_KEYEXCH, "keyexch: processing %s packet from `%s'",
1292            msg < KX_NMSG ? pkname[msg] : "unknown", p_name(kx->p)); )
1293
1294   switch (msg) {
1295     case KX_PRECHAL:
1296       rc = doprechallenge(kx, b);
1297       break;
1298     case KX_CHAL:
1299       rc = dochallenge(kx, b);
1300       break;
1301     case KX_REPLY:
1302       rc = doreply(kx, b);
1303       break;
1304     case KX_SWITCH:
1305       rc = doswitch(kx, b);
1306       break;
1307     case KX_SWITCHOK:
1308       rc = doswitchok(kx, b);
1309       break;
1310     default:
1311       a_warn("KX", "?PEER", kx->p, "unknown-message", "0x%02x", msg, A_END);
1312       rc = -1;
1313       break;
1314   }
1315
1316   if (rc)
1317     st->n_reject++;
1318   else {
1319     st->n_kxin++;
1320     st->sz_kxin += sz;
1321   }
1322 }
1323
1324 /* --- @kx_free@ --- *
1325  *
1326  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1327  *
1328  * Returns:     ---
1329  *
1330  * Use:         Frees everything in a key exchange context.
1331  */
1332
1333 void kx_free(keyexch *kx)
1334 {
1335   stop(kx);
1336   km_unref(kx->kpub);
1337   km_unref(kx->kpriv);
1338 }
1339
1340 /* --- @kx_newkeys@ --- *
1341  *
1342  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1343  *
1344  * Returns:     ---
1345  *
1346  * Use:         Informs the key exchange module that its keys may have
1347  *              changed.  If fetching the new keys fails, the peer will be
1348  *              destroyed, we log messages and struggle along with the old
1349  *              keys.
1350  */
1351
1352 void kx_newkeys(keyexch *kx)
1353 {
1354   kdata *kpriv, *kpub;
1355   unsigned i;
1356   int switchp;
1357   time_t now = time(0);
1358
1359   T( trace(T_KEYEXCH, "keyexch: checking new keys for `%s'",
1360            p_name(kx->p)); )
1361
1362   /* --- Find out whether we can use new keys --- *
1363    *
1364    * Try each available combination of new and old, public and private,
1365    * except both old (which is status quo anyway).  The selection is encoded
1366    * in @i@, with bit 0 for the private key and bit 1 for public key; a set
1367    * bit means to use the old value, and a clear bit means to use the new
1368    * one.
1369    *
1370    * This means that we currently prefer `old private and new public' over
1371    * `new private and old public'.  I'm not sure which way round this should
1372    * actually be.
1373    */
1374
1375   for (i = 0; i < 3; i++) {
1376
1377     /* --- Select the keys we're going to examine --- *
1378      *
1379      * If we're meant to have a new key and don't, then skip this
1380      * combination.
1381      */
1382
1383     T( trace(T_KEYEXCH, "keyexch: checking %s private, %s public",
1384              i & 1 ? "old" : "new", i & 2 ? "old" : "new"); )
1385
1386     if (i & 1) kpriv = kx->kpriv;
1387     else if (kx->kpriv->kn->kd != kx->kpriv) kpriv = kx->kpriv->kn->kd;
1388     else {
1389       T( trace(T_KEYEXCH, "keyexch: private key unchanged, skipping"); )
1390       continue;
1391     }
1392
1393     if (i & 2) kpub = kx->kpub;
1394     else if (kx->kpub->kn->kd != kx->kpub) kpub = kx->kpub->kn->kd;
1395     else {
1396       T( trace(T_KEYEXCH, "keyexch: public key unchanged, skipping"); )
1397       continue;
1398     }
1399
1400     /* --- Skip if either key is expired --- *
1401      *
1402      * We're not going to get far with expired keys, and this simplifies the
1403      * logic below.
1404      */
1405
1406     if (KEY_EXPIRED(now, kx->kpriv->t_exp) ||
1407         KEY_EXPIRED(now, kx->kpub->t_exp)) {
1408       T( trace(T_KEYEXCH, "keyexch: %s expired, skipping",
1409                !KEY_EXPIRED(now, kx->kpriv->t_exp) ? "public key" :
1410                !KEY_EXPIRED(now, kx->kpub->t_exp) ? "private key" :
1411                "both keys"); )
1412       continue;
1413     }
1414
1415     /* --- If the groups don't match then we can't use this pair --- */
1416
1417     if (!km_samealgsp(kpriv, kpub)) {
1418       T( trace(T_KEYEXCH, "keyexch: peer `%s' group mismatch; "
1419                "%s priv `%s' and %s pub `%s'", p_name(kx->p),
1420                i & 1 ? "old" : "new", km_tag(kx->kpriv),
1421                i & 2 ? "old" : "new", km_tag(kx->kpub)); )
1422       continue;
1423     }
1424     goto newkeys;
1425   }
1426   T( trace(T_KEYEXCH, "keyexch: peer `%s' continuing with old keys",
1427            p_name(kx->p)); )
1428   return;
1429
1430   /* --- We've chosen new keys --- *
1431    *
1432    * Switch the new ones into place.  Neither of the keys we're switching to
1433    * is expired (we checked that above), so we should just crank everything
1434    * up.
1435    *
1436    * A complication arises: we don't really want to force a new key exchange
1437    * unless we have to.  If the group is unchanged, and we're currently
1438    * running OK, then we should just let things lie.
1439    */
1440
1441 newkeys:
1442   switchp = ((kx->f & KXF_DEAD) ||
1443              kx->s != KXS_SWITCH ||
1444              !group_samep(kx->kpriv->g, kpriv->g));
1445
1446   T( trace(T_KEYEXCH, "keyexch: peer `%s' adopting "
1447            "%s priv `%s' and %s pub `%s'; %sforcing exchange", p_name(kx->p),
1448            i & 1 ? "old" : "new", km_tag(kx->kpriv),
1449            i & 2 ? "old" : "new", km_tag(kx->kpub),
1450            switchp ? "" : "not "); )
1451
1452   if (switchp) stop(kx);
1453   km_ref(kpriv); km_unref(kx->kpriv); kx->kpriv = kpriv;
1454   km_ref(kpub);  km_unref(kx->kpub);  kx->kpub  = kpub;
1455   kx->f |= KXF_PUBKEY;
1456   if (switchp) {
1457     T( trace(T_KEYEXCH, "keyexch: restarting key negotiation with `%s'",
1458              p_name(kx->p)); )
1459     start(kx, time(0));
1460     resend(kx);
1461   }
1462 }
1463
1464 /* --- @kx_init@ --- *
1465  *
1466  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1467  *              @peer *p@ = pointer to peer context
1468  *              @keyset **ks@ = pointer to keyset list
1469  *              @unsigned f@ = various useful flags
1470  *
1471  * Returns:     Zero if OK, nonzero if it failed.
1472  *
1473  * Use:         Initializes a key exchange module.  The module currently
1474  *              contains no keys, and will attempt to initiate a key
1475  *              exchange.
1476  */
1477
1478 int kx_init(keyexch *kx, peer *p, keyset **ks, unsigned f)
1479 {
1480   if ((kx->kpriv = km_findpriv(p_privtag(p))) == 0) goto fail_0;
1481   if ((kx->kpub = km_findpub(p_tag(p))) == 0) goto fail_1;
1482   if (!km_samealgsp(kx->kpriv, kx->kpub)) {
1483     a_warn("KX", "?PEER", p, "group-mismatch",
1484            "local-private-key", "%s", p_privtag(p),
1485            "peer-public-key", "%s", p_tag(p),
1486            A_END);
1487     goto fail_2;
1488   }
1489
1490   kx->ks = ks;
1491   kx->p = p;
1492   kx->f = KXF_DEAD | KXF_PUBKEY | f;
1493   rs_reset(&kx->rs);
1494   if (!(kx->f & KXF_CORK)) {
1495     start(kx, time(0));
1496     resend(kx);
1497     /* Don't notify here: the ADD message hasn't gone out yet. */
1498   }
1499   return (0);
1500
1501 fail_2:
1502   km_unref(kx->kpub);
1503 fail_1:
1504   km_unref(kx->kpriv);
1505 fail_0:
1506   return (-1);
1507 }
1508
1509 /*----- That's all, folks -------------------------------------------------*/