chiark / gitweb /
server/keyexch.c: Lower the validity time for a challenge.
[tripe] / server / keyexch.c
1 /* -*-c-*-
2  *
3  * Key exchange protocol
4  *
5  * (c) 2001 Straylight/Edgeware
6  */
7
8 /*----- Licensing notice --------------------------------------------------*
9  *
10  * This file is part of Trivial IP Encryption (TrIPE).
11  *
12  * TrIPE is free software; you can redistribute it and/or modify
13  * it under the terms of the GNU General Public License as published by
14  * the Free Software Foundation; either version 2 of the License, or
15  * (at your option) any later version.
16  *
17  * TrIPE is distributed in the hope that it will be useful,
18  * but WITHOUT ANY WARRANTY; without even the implied warranty of
19  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
20  * GNU General Public License for more details.
21  *
22  * You should have received a copy of the GNU General Public License
23  * along with TrIPE; if not, write to the Free Software Foundation,
24  * Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
25  */
26
27 /*----- Header files ------------------------------------------------------*/
28
29 #include "tripe.h"
30
31 /*----- Brief protocol overview -------------------------------------------*
32  *
33  * Let %$G$% be a cyclic group; let %$g$% be a generator of %$G$%, and let
34  * %$q$% be the order of %$G$%; for a key %$K$%, let %$E_K(\cdot)$% denote
35  * application of the symmetric packet protocol to a message; let
36  * %$H(\cdot)$% be the random oracle.  Let $\alpha \inr \{0,\ldots,q - 1\}$%
37  * be Alice's private key; let %$a = g^\alpha$% be her public key; let %$b$%
38  * be Bob's public key.
39  *
40  * At the beginning of the session, Alice chooses
41  *
42  *   %$\rho_A \inr \{0, \ldots q - 1\}$%
43  *
44  * We also have:
45  *
46  * %$r_A = g^{\rho_A}$%                 Alice's challenge
47  * %$c_A = H(\cookie{cookie}, r_A)$%    Alice's cookie
48  * %$v_A = \rho_A \xor H(\cookie{expected-reply}, a, r_A, r_B, b^{\rho_A})$%
49  *                                      Alice's challenge check value
50  * %$r_B^\alpha = a^{\rho_B}$%          Alice's reply
51  * %$K = r_B^{\rho_A} = r_B^{\rho_A} = g^{\rho_A\rho_B}$%
52  *                                      Alice and Bob's shared secret key
53  * %$w_A = H(\cookie{switch-request}, c_A, c_B)$%
54  *                                      Alice's switch request value
55  * %$u_A = H(\cookie{switch-confirm}, c_A, c_B)$%
56  *                                      Alice's switch confirm value
57  *
58  * The messages are then:
59  *
60  * %$\cookie{kx-pre-challenge}, r_A$%
61  *      Initial greeting.  In state @KXS_CHAL@.
62  *
63  * %$\cookie{kx-challenge}, r_A, c_B, v_A$%
64  *      Here's a full challenge for you to answer.
65  *
66  * %$\cookie{kx-reply}, r_A, c_B, v_A, E_K(r_B^\alpha))$%
67  *      Challenge accpeted: here's the answer.  Commit to my challenge.  Move
68  *      to @KXS_COMMIT@.
69  *
70  * %$\cookie{kx-switch-rq}, c_A, c_B, E_K(r_B^\alpha, w_A))$%
71  *      Reply received: here's my reply.  Committed; send data; move to
72  *      @KXS_SWITCH@.
73  *
74  * %$\cookie{kx-switch-ok}, E_K(u_A))$%
75  *      Switch received.  Committed; send data; move to @KXS_SWITCH@.
76  */
77
78 /*----- Tunable parameters ------------------------------------------------*/
79
80 #define T_VALID SEC(20)                 /* Challenge validity period */
81 #define T_RETRY SEC(10)                 /* Challenge retransmit interval */
82
83 #define VALIDP(kx, now) ((now) < (kx)->t_valid)
84
85 /*----- Static tables -----------------------------------------------------*/
86
87 static const char *const pkname[] = {
88   "pre-challenge", "challenge", "reply", "switch-rq", "switch-ok"
89 };
90
91 /*----- Various utilities -------------------------------------------------*/
92
93 /* --- @hashge@ --- *
94  *
95  * Arguments:   @ghash *h@ = pointer to hash context
96  *              @ge *x@ = pointer to group element
97  *
98  * Returns:     ---
99  *
100  * Use:         Adds the hash of a group element to the context.  Corrupts
101  *              @buf_t@.
102  */
103
104 static void hashge(ghash *h, ge *x)
105 {
106   buf b;
107   buf_init(&b, buf_t, sizeof(buf_t));
108   G_TOBUF(gg, &b, x);
109   assert(BOK(&b));
110   GH_HASH(h, BBASE(&b), BLEN(&b));
111 }
112
113 /* --- @mpmask@ --- *
114  *
115  * Arguments:   @buf *b@ = output buffer
116  *              @mp *x@ = the plaintext integer
117  *              @size_t n@ = the expected size of the plaintext
118  *              @const octet *k@ = pointer to key material
119  *              @size_t ksz@ = size of the key
120  *
121  * Returns:     Pointer to the output.
122  *
123  * Use:         Masks a multiprecision integer: returns %$x \xor H(k)$%, so
124  *              it's a random oracle thing rather than an encryption thing.
125  */
126
127 static octet *mpmask(buf *b, mp *x, size_t n, const octet *k, size_t ksz)
128 {
129   gcipher *mgf;
130   octet *p;
131
132   if ((p = buf_get(b, n)) == 0)
133     return (0);
134   mgf = GC_INIT(algs.mgf, k, ksz);
135   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
136     trace(T_CRYPTO, "masking index = %s", mpstr(x));
137     trace_block(T_CRYPTO, "masking key", k, ksz);
138   }))
139   mp_storeb(x, buf_t, n);
140   GC_ENCRYPT(mgf, buf_t, p, n);
141   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
142     trace_block(T_CRYPTO, "index plaintext", buf_t, n);
143     trace_block(T_CRYPTO, "masked ciphertext", p, n);
144   }))
145   GC_DESTROY(mgf);
146   return (p);
147 }
148
149 /* --- @mpunmask@ --- *
150  *
151  * Arguments:   @mp *d@ = the output integer
152  *              @const octet *p@ = pointer to the ciphertext
153  *              @size_t n@ = the size of the ciphertext
154  *              @const octet *k@ = pointer to key material
155  *              @size_t ksz@ = size of the key
156  *
157  * Returns:     The decrypted integer, or null.
158  *
159  * Use:         Unmasks a multiprecision integer.
160  */
161
162 static mp *mpunmask(mp *d, const octet *p, size_t n,
163                     const octet *k, size_t ksz)
164 {
165   gcipher *mgf;
166
167   mgf = GC_INIT(algs.mgf, k, ksz);
168   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
169     trace_block(T_CRYPTO, "unmasking key", k, ksz);
170     trace_block(T_CRYPTO, "masked ciphertext", p, n);
171   }))
172   GC_DECRYPT(mgf, p, buf_t, n);
173   d = mp_loadb(d, buf_t, n);
174   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
175     trace_block(T_CRYPTO, "index plaintext", buf_t, n);
176     trace(T_CRYPTO, "unmasked index = %s", mpstr(d));
177   }))
178   GC_DESTROY(mgf);
179   return (d);
180 }
181
182 /* --- @hashcheck@ --- *
183  *
184  * Arguments:   @ge *kpub@ = sender's public key
185  *              @ge *cc@ = receiver's challenge
186  *              @ge *c@ = sender's challenge
187  *              @ge *y@ = reply to sender's challenge
188  *
189  * Returns:     Pointer to the hash value (in @buf_t@)
190  *
191  * Use:         Computes the check-value hash, used to mask or unmask
192  *              indices to prove the validity of challenges.  This computes
193  *              the masking key used in challenge check values.  This is
194  *              really the heart of the whole thing, since it ensures that
195  *              the index can be recovered from the history of hashing
196  *              queries, which gives us (a) a proof that the authentication
197  *              process is zero-knowledge, and (b) a proof that the whole
198  *              key-exchange is deniable.
199  */
200
201 static const octet *hashcheck(ge *kpub, ge *cc, ge *c, ge *y)
202 {
203   ghash *h = GH_INIT(algs.h);
204
205   HASH_STRING(h, "tripe-expected-reply");
206   hashge(h, kpub);
207   hashge(h, cc);
208   hashge(h, c);
209   hashge(h, y);
210   GH_DONE(h, buf_t);
211   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
212     trace(T_CRYPTO, "computing challenge check hash");
213     trace(T_CRYPTO, "public key = %s", gestr(gg, kpub));
214     trace(T_CRYPTO, "receiver challenge = %s", gestr(gg, cc));
215     trace(T_CRYPTO, "sender challenge = %s", gestr(gg, c));
216     trace(T_CRYPTO, "sender reply = %s", gestr(gg, y));
217     trace_block(T_CRYPTO, "hash output", buf_t, algs.hashsz);
218   }))
219   GH_DESTROY(h);
220   return (buf_t);
221 }
222
223 /* --- @sendchallenge@ --- *
224  *
225  * Arguments:   @keyexch *kx@ = pointer to key exchange block
226  *              @buf *b@ = output buffer for challenge
227  *              @ge *c@ = peer's actual challenge
228  *              @const octet *hc@ = peer's challenge cookie
229  *
230  * Returns:     ---
231  *
232  * Use:         Writes a full challenge to the message buffer.
233  */
234
235 static void sendchallenge(keyexch *kx, buf *b, ge *c, const octet *hc)
236 {
237   G_TOBUF(gg, b, kx->c);
238   buf_put(b, hc, algs.hashsz);
239   mpmask(b, kx->alpha, indexsz,
240          hashcheck(kpub, c, kx->c, kx->rx), algs.hashsz);
241 }
242
243 /* --- @timer@ --- *
244  *
245  * Arguments:   @struct timeval *tv@ = the current time
246  *              @void *v@ = pointer to key exchange context
247  *
248  * Returns:     ---
249  *
250  * Use:         Acts when the key exchange timer goes off.
251  */
252
253 static void timer(struct timeval *tv, void *v)
254 {
255   keyexch *kx = v;
256   kx->f &= ~KXF_TIMER;
257   T( trace(T_KEYEXCH, "keyexch: timer has popped"); )
258   kx_start(kx, 0);
259 }
260
261 /* --- @settimer@ --- *
262  *
263  * Arguments:   @keyexch *kx@ = pointer to key exchange context
264  *              @time_t t@ = when to set the timer for
265  *
266  * Returns:     ---
267  *
268  * Use:         Sets the timer for the next key exchange attempt.
269  */
270
271 static void settimer(keyexch *kx, time_t t)
272 {
273   struct timeval tv;
274   if (kx->f & KXF_TIMER)
275     sel_rmtimer(&kx->t);
276   tv.tv_sec = t;
277   tv.tv_usec = 0;
278   sel_addtimer(&sel, &kx->t, &tv, timer, kx);
279   kx->f |= KXF_TIMER;
280 }
281
282 /*----- Challenge management ----------------------------------------------*/
283
284 /* --- Notes on challenge management --- *
285  *
286  * We may get multiple different replies to our key exchange; some will be
287  * correct, some inserted by attackers.  Up until @KX_THRESH@, all challenges
288  * received will be added to the table and given a full response.  After
289  * @KX_THRESH@ distinct challenges are received, we return only a `cookie':
290  * our existing challenge, followed by a hash of the sender's challenge.  We
291  * do %%\emph{not}%% give a bare challenge a reply slot at this stage.  All
292  * properly-formed cookies are assigned a table slot: if none is spare, a
293  * used slot is randomly selected and destroyed.  A cookie always receives a
294  * full reply.
295  */
296
297 /* --- @kxc_destroy@ --- *
298  *
299  * Arguments:   @kxchal *kxc@ = pointer to the challenge block
300  *
301  * Returns:     ---
302  *
303  * Use:         Disposes of a challenge block.
304  */
305
306 static void kxc_destroy(kxchal *kxc)
307 {
308   if (kxc->f & KXF_TIMER)
309     sel_rmtimer(&kxc->t);
310   G_DESTROY(gg, kxc->c);
311   G_DESTROY(gg, kxc->r);
312   ks_drop(kxc->ks);
313   DESTROY(kxc);
314 }
315
316 /* --- @kxc_stoptimer@ --- *
317  *
318  * Arguments:   @kxchal *kxc@ = pointer to the challenge block
319  *
320  * Returns:     ---
321  *
322  * Use:         Stops the challenge's retry timer from sending messages.
323  *              Useful when the state machine is in the endgame of the
324  *              exchange.
325  */
326
327 static void kxc_stoptimer(kxchal *kxc)
328 {
329   if (kxc->f & KXF_TIMER)
330     sel_rmtimer(&kxc->t);
331   kxc->f &= ~KXF_TIMER;
332 }
333
334 /* --- @kxc_new@ --- *
335  *
336  * Arguments:   @keyexch *kx@ = pointer to key exchange block
337  *
338  * Returns:     A pointer to the challenge block.
339  *
340  * Use:         Returns a pointer to a new challenge block to fill in.
341  */
342
343 static kxchal *kxc_new(keyexch *kx)
344 {
345   kxchal *kxc;
346   unsigned i;
347
348   /* --- If we're over reply threshold, discard one at random --- */
349
350   if (kx->nr < KX_NCHAL)
351     i = kx->nr++;
352   else {
353     i = rand_global.ops->range(&rand_global, KX_NCHAL);
354     kxc_destroy(kx->r[i]);
355   }
356
357   /* --- Fill in the new structure --- */
358
359   kxc = CREATE(kxchal);
360   kxc->c = G_CREATE(gg);
361   kxc->r = G_CREATE(gg);
362   kxc->ks = 0;
363   kxc->kx = kx;
364   kxc->f = 0;
365   kx->r[i] = kxc;
366   return (kxc);
367 }
368
369 /* --- @kxc_bychal@ --- *
370  *
371  * Arguments:   @keyexch *kx@ = pointer to key exchange block
372  *              @ge *c@ = challenge from remote host
373  *
374  * Returns:     Pointer to the challenge block, or null.
375  *
376  * Use:         Finds a challenge block, given its challenge.
377  */
378
379 static kxchal *kxc_bychal(keyexch *kx, ge *c)
380 {
381   unsigned i;
382
383   for (i = 0; i < kx->nr; i++) {
384     if (G_EQ(gg, c, kx->r[i]->c))
385       return (kx->r[i]);
386   }
387   return (0);
388 }
389
390 /* --- @kxc_byhc@ --- *
391  *
392  * Arguments:   @keyexch *kx@ = pointer to key exchange block
393  *              @const octet *hc@ = challenge hash from remote host
394  *
395  * Returns:     Pointer to the challenge block, or null.
396  *
397  * Use:         Finds a challenge block, given a hash of its challenge.
398  */
399
400 static kxchal *kxc_byhc(keyexch *kx, const octet *hc)
401 {
402   unsigned i;
403
404   for (i = 0; i < kx->nr; i++) {
405     if (memcmp(hc, kx->r[i]->hc, algs.hashsz) == 0)
406       return (kx->r[i]);
407   }
408   return (0);
409 }
410
411 /* --- @kxc_answer@ --- *
412  *
413  * Arguments:   @keyexch *kx@ = pointer to key exchange block
414  *              @kxchal *kxc@ = pointer to challenge block
415  *
416  * Returns:     ---
417  *
418  * Use:         Sends a reply to the remote host, according to the data in
419  *              this challenge block.
420  */
421
422 static void kxc_answer(keyexch *kx, kxchal *kxc);
423
424 static void kxc_timer(struct timeval *tv, void *v)
425 {
426   kxchal *kxc = v;
427   kxc->f &= ~KXF_TIMER;
428   kxc_answer(kxc->kx, kxc);
429 }
430
431 static void kxc_answer(keyexch *kx, kxchal *kxc)
432 {
433   stats *st = p_stats(kx->p);
434   buf *b = p_txstart(kx->p, MSG_KEYEXCH | KX_REPLY);
435   struct timeval tv;
436   buf bb;
437
438   /* --- Build the reply packet --- */
439
440   T( trace(T_KEYEXCH, "keyexch: sending reply to `%s'", p_name(kx->p)); )
441   sendchallenge(kx, b, kxc->c, kxc->hc);
442   buf_init(&bb, buf_i, sizeof(buf_i));
443   G_TORAW(gg, &bb, kxc->r);
444   buf_flip(&bb);
445   ks_encrypt(kxc->ks, MSG_KEYEXCH | KX_REPLY, &bb, b);
446
447   /* --- Update the statistics --- */
448
449   if (BOK(b)) {
450     st->n_kxout++;
451     st->sz_kxout += BLEN(b);
452     p_txend(kx->p);
453   }
454
455   /* --- Schedule another resend --- */
456
457   if (kxc->f & KXF_TIMER)
458     sel_rmtimer(&kxc->t);
459   gettimeofday(&tv, 0);
460   tv.tv_sec += T_RETRY;
461   sel_addtimer(&sel, &kxc->t, &tv, kxc_timer, kxc);
462   kxc->f |= KXF_TIMER;
463 }
464
465 /*----- Individual message handlers ---------------------------------------*/
466
467 /* --- @doprechallenge@ --- *
468  *
469  * Arguments:   @keyexch *kx@ = pointer to key exchange block
470  *              @buf *b@ = buffer containing the packet
471  *
472  * Returns:     Zero if OK, nonzero of the packet was rejected.
473  *
474  * Use:         Processes a pre-challenge message.
475  */
476
477 static int doprechallenge(keyexch *kx, buf *b)
478 {
479   stats *st = p_stats(kx->p);
480   ge *c = G_CREATE(gg);
481   ghash *h;
482
483   /* --- Ensure that we're in a sensible state --- */
484
485   if (kx->s != KXS_CHAL) {
486     a_warn("KX", "?PEER", kx->p, "unexpected", "pre-challenge", A_END);
487     goto bad;
488   }
489
490   /* --- Unpack the packet --- */
491
492   if (G_FROMBUF(gg, b, c) || BLEFT(b))
493     goto bad;
494
495   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
496     trace(T_CRYPTO, "crypto: challenge = %s", gestr(gg, c));
497   }))
498
499   /* --- Send out a full challenge by return --- */
500
501   b = p_txstart(kx->p, MSG_KEYEXCH | KX_CHAL);
502   h = GH_INIT(algs.h);
503   HASH_STRING(h, "tripe-cookie");
504   hashge(h, c);
505   sendchallenge(kx, b, c, GH_DONE(h, 0));
506   GH_DESTROY(h);
507   st->n_kxout++;
508   st->sz_kxout += BLEN(b);
509   p_txend(kx->p);
510
511   /* --- Done --- */
512
513   G_DESTROY(gg, c);
514   return (0);
515
516 bad:
517   if (c) G_DESTROY(gg, c);
518   return (-1);
519 }
520
521 /* --- @respond@ --- *
522  *
523  * Arguments:   @keyexch *kx@ = pointer to key exchange block
524  *              @unsigned msg@ = message code for this packet
525  *              @buf *b@ = buffer containing the packet
526  *
527  * Returns:     Key-exchange challenge block, or null.
528  *
529  * Use:         Computes a response for the given challenge, entering it into
530  *              a challenge block and so on.
531  */
532
533 static kxchal *respond(keyexch *kx, unsigned msg, buf *b)
534 {
535   ge *c = G_CREATE(gg);
536   ge *r = G_CREATE(gg);
537   ge *cc = G_CREATE(gg);
538   const octet *hc, *ck;
539   size_t x, y, z;
540   mp *cv = 0;
541   kxchal *kxc;
542   ghash *h = 0;
543   buf bb;
544   int ok;
545
546   /* --- Unpack the packet --- */
547
548   if (G_FROMBUF(gg, b, c) ||
549       (hc = buf_get(b, algs.hashsz)) == 0 ||
550       (ck = buf_get(b, indexsz)) == 0) {
551     a_warn("KX", "?PEER", kx->p, "invalid", "%s", pkname[msg], A_END);
552     goto bad;
553   }
554   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
555     trace(T_CRYPTO, "crypto: challenge = %s", gestr(gg, c));
556     trace_block(T_CRYPTO, "crypto: cookie", hc, algs.hashsz);
557     trace_block(T_CRYPTO, "crypto: check-value", ck, indexsz);
558   }))
559
560   /* --- Discard a packet with an invalid cookie --- */
561
562   if (hc && memcmp(hc, kx->hc, algs.hashsz) != 0) {
563     a_warn("KX", "?PEER", kx->p, "incorrect", "cookie", A_END);
564     goto bad;
565   }
566
567   /* --- Recover the check value and verify it --- *
568    *
569    * To avoid recomputation on replays, we store a hash of the `right'
570    * value.  The `correct' value is unique, so this is right.
571    *
572    * This will also find a challenge block and, if necessary, populate it.
573    */
574
575   if ((kxc = kxc_bychal(kx, c)) != 0) {
576     h = GH_INIT(algs.h);
577     HASH_STRING(h, "tripe-check-hash");
578     GH_HASH(h, ck, indexsz);
579     ok = !memcmp(kxc->ck, GH_DONE(h, 0), algs.hashsz);
580     GH_DESTROY(h);
581     if (!ok) goto badcheck;
582   } else {
583
584     /* --- Compute the reply, and check the magic --- */
585
586     G_EXP(gg, r, c, kpriv);
587     cv = mpunmask(MP_NEW, ck, indexsz,
588                   hashcheck(kx->kpub, kx->c, c, r), algs.hashsz);
589     IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
590       trace(T_CRYPTO, "crypto: computed reply = %s", gestr(gg, r));
591       trace(T_CRYPTO, "crypto: recovered log = %s", mpstr(cv));
592     }))
593     if (MP_CMP(cv, >, gg->r) ||
594         (G_EXP(gg, cc, gg->g, cv), !G_EQ(gg, c, cc)))
595       goto badcheck;
596
597     /* --- Fill in a new challenge block --- */
598
599     kxc = kxc_new(kx);
600     G_COPY(gg, kxc->c, c);
601     G_COPY(gg, kxc->r, r);
602
603     h = GH_INIT(algs.h);
604     HASH_STRING(h, "tripe-check-hash");
605     GH_HASH(h, ck, indexsz);
606     GH_DONE(h, kxc->ck);
607     GH_DESTROY(h);
608
609     h = GH_INIT(algs.h);
610     HASH_STRING(h, "tripe-cookie");
611     hashge(h, kxc->c);
612     GH_DONE(h, kxc->hc);
613     GH_DESTROY(h);
614
615     IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
616       trace_block(T_CRYPTO, "crypto: computed cookie", kxc->hc, algs.hashsz);
617     }))
618
619     /* --- Work out the shared key --- */
620
621     G_EXP(gg, r, c, kx->alpha);
622     IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
623       trace(T_CRYPTO, "crypto: shared secret = %s", gestr(gg, r));
624     }))
625
626     /* --- Compute the switch messages --- */
627
628     h = GH_INIT(algs.h); HASH_STRING(h, "tripe-switch-request");
629     hashge(h, kx->c); hashge(h, kxc->c);
630     GH_DONE(h, kxc->hswrq_out); GH_DESTROY(h);
631     h = GH_INIT(algs.h); HASH_STRING(h, "tripe-switch-confirm");
632     hashge(h, kx->c); hashge(h, kxc->c);
633     GH_DONE(h, kxc->hswok_out); GH_DESTROY(h);
634
635     h = GH_INIT(algs.h); HASH_STRING(h, "tripe-switch-request");
636     hashge(h, kxc->c); hashge(h, kx->c);
637     GH_DONE(h, kxc->hswrq_in); GH_DESTROY(h);
638     h = GH_INIT(algs.h); HASH_STRING(h, "tripe-switch-confirm");
639     hashge(h, kxc->c); hashge(h, kx->c);
640     GH_DONE(h, kxc->hswok_in); GH_DESTROY(h);
641
642     IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
643       trace_block(T_CRYPTO, "crypto: outbound switch request",
644                   kxc->hswrq_out, algs.hashsz);
645       trace_block(T_CRYPTO, "crypto: outbound switch confirm",
646                   kxc->hswok_out, algs.hashsz);
647       trace_block(T_CRYPTO, "crypto: inbound switch request",
648                   kxc->hswrq_in, algs.hashsz);
649       trace_block(T_CRYPTO, "crypto: inbound switch confirm",
650                   kxc->hswok_in, algs.hashsz);
651     }))
652
653     /* --- Create a new symmetric keyset --- */
654
655     buf_init(&bb, buf_o, sizeof(buf_o));
656     G_TOBUF(gg, &bb, kx->c); x = BLEN(&bb);
657     G_TOBUF(gg, &bb, kxc->c); y = BLEN(&bb);
658     G_TOBUF(gg, &bb, r); z = BLEN(&bb);
659     assert(BOK(&bb));
660
661     kxc->ks = ks_gen(BBASE(&bb), x, y, z, kx->p);
662   }
663
664   G_DESTROY(gg, c);
665   G_DESTROY(gg, cc);
666   G_DESTROY(gg, r);
667   mp_drop(cv);
668   return (kxc);
669
670 badcheck:
671   a_warn("KX", "?PEER", kx->p, "bad-expected-reply-log", A_END);
672   goto bad;
673 bad:
674   G_DESTROY(gg, c);
675   G_DESTROY(gg, cc);
676   G_DESTROY(gg, r);
677   mp_drop(cv);
678   return (0);
679 }
680
681 /* --- @dochallenge@ --- *
682  *
683  * Arguments:   @keyexch *kx@ = pointer to key exchange block
684  *              @unsigned msg@ = message code for the packet
685  *              @buf *b@ = buffer containing the packet
686  *
687  * Returns:     Zero if OK, nonzero if the packet was rejected.
688  *
689  * Use:         Processes a packet containing a challenge.
690  */
691
692 static int dochallenge(keyexch *kx, buf *b)
693 {
694   kxchal *kxc;
695
696   if (kx->s != KXS_CHAL) {
697     a_warn("KX", "?PEER", kx->p, "unexpected", "challenge", A_END);
698     goto bad;
699   }
700   if ((kxc = respond(kx, KX_CHAL, b)) == 0)
701     goto bad;
702   if (BLEFT(b)) {
703     a_warn("KX", "?PEER", kx->p, "invalid", "challenge", A_END);
704     goto bad;
705   }
706   kxc_answer(kx, kxc);
707   return (0);
708
709 bad:
710   return (-1);
711 }
712
713 /* --- @resend@ --- *
714  *
715  * Arguments:   @keyexch *kx@ = pointer to key exchange context
716  *
717  * Returns:     ---
718  *
719  * Use:         Sends the next message for a key exchange.
720  */
721
722 static void resend(keyexch *kx)
723 {
724   kxchal *kxc;
725   buf bb;
726   stats *st = p_stats(kx->p);
727   buf *b;
728
729   switch (kx->s) {
730     case KXS_CHAL:
731       T( trace(T_KEYEXCH, "keyexch: sending prechallenge to `%s'",
732                p_name(kx->p)); )
733       b = p_txstart(kx->p, MSG_KEYEXCH | KX_PRECHAL);
734       G_TOBUF(gg, b, kx->c);
735       break;
736     case KXS_COMMIT:
737       T( trace(T_KEYEXCH, "keyexch: sending switch request to `%s'",
738                p_name(kx->p)); )
739       kxc = kx->r[0];
740       b = p_txstart(kx->p, MSG_KEYEXCH | KX_SWITCH);
741       buf_put(b, kx->hc, algs.hashsz);
742       buf_put(b, kxc->hc, algs.hashsz);
743       buf_init(&bb, buf_i, sizeof(buf_i));
744       G_TORAW(gg, &bb, kxc->r);
745       buf_put(&bb, kxc->hswrq_out, algs.hashsz);
746       buf_flip(&bb);
747       ks_encrypt(kxc->ks, MSG_KEYEXCH | KX_SWITCH, &bb, b);
748       break;
749     case KXS_SWITCH:
750       T( trace(T_KEYEXCH, "keyexch: sending switch confirmation to `%s'",
751                p_name(kx->p)); )
752       kxc = kx->r[0];
753       b = p_txstart(kx->p, MSG_KEYEXCH | KX_SWITCHOK);
754       buf_init(&bb, buf_i, sizeof(buf_i));
755       buf_put(&bb, kxc->hswok_out, algs.hashsz);
756       buf_flip(&bb);
757       ks_encrypt(kxc->ks, MSG_KEYEXCH | KX_SWITCHOK, &bb, b);
758       break;
759     default:
760       abort();
761   }
762
763   if (BOK(b)) {
764     st->n_kxout++;
765     st->sz_kxout += BLEN(b);
766     p_txend(kx->p);
767   }
768
769   if (kx->s < KXS_SWITCH)
770     settimer(kx, time(0) + T_RETRY);
771 }
772
773 /* --- @decryptrest@ --- *
774  *
775  * Arguments:   @keyexch *kx@ = pointer to key exchange context
776  *              @kxchal *kxc@ = pointer to challenge block
777  *              @unsigned msg@ = type of incoming message
778  *              @buf *b@ = encrypted remainder of the packet
779  *
780  * Returns:     Zero if OK, nonzero on some kind of error.
781  *
782  * Use:         Decrypts the remainder of the packet, and points @b@ at the
783  *              recovered plaintext.
784  */
785
786 static int decryptrest(keyexch *kx, kxchal *kxc, unsigned msg, buf *b)
787 {
788   buf bb;
789
790   buf_init(&bb, buf_o, sizeof(buf_o));
791   if (ks_decrypt(kxc->ks, MSG_KEYEXCH | msg, b, &bb)) {
792     a_warn("KX", "?PEER", kx->p, "decrypt-failed", "%s", pkname[msg], A_END);
793     return (-1);
794   }
795   buf_init(b, BBASE(&bb), BLEN(&bb));
796   return (0);
797 }
798
799 /* --- @checkresponse@ --- *
800  *
801  * Arguments:   @keyexch *kx@ = pointer to key exchange context
802  *              @unsigned msg@ = type of incoming message
803  *              @buf *b@ = decrypted remainder of the packet
804  *
805  * Returns:     Zero if OK, nonzero on some kind of error.
806  *
807  * Use:         Checks a reply or switch packet, ensuring that its response
808  *              is correct.
809  */
810
811 static int checkresponse(keyexch *kx, unsigned msg, buf *b)
812 {
813   ge *r = G_CREATE(gg);
814
815   if (G_FROMRAW(gg, b, r)) {
816     a_warn("KX", "?PEER", kx->p, "invalid", "%s", pkname[msg], A_END);
817     goto bad;
818   }
819   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
820     trace(T_CRYPTO, "crypto: reply = %s", gestr(gg, r));
821   }))
822   if (!G_EQ(gg, r, kx->rx)) {
823     a_warn("KX", "?PEER", kx->p, "incorrect", "response", A_END);
824     goto bad;
825   }
826
827   G_DESTROY(gg, r);
828   return (0);
829
830 bad:
831   G_DESTROY(gg, r);
832   return (-1);
833 }
834
835 /* --- @commit@ --- *
836  *
837  * Arguments:   @keyexch *kx@ = pointer to key exchange context
838  *              @kxchal *kxc@ = pointer to challenge to commit to
839  *
840  * Returns:     ---
841  *
842  * Use:         Commits to a particular challenge as being the `right' one,
843  *              since a reply has arrived for it.
844  */
845
846 static void commit(keyexch *kx, kxchal *kxc)
847 {
848   unsigned i;
849
850   for (i = 0; i < kx->nr; i++) {
851     if (kx->r[i] != kxc)
852       kxc_destroy(kx->r[i]);
853   }
854   kx->r[0] = kxc;
855   kx->nr = 1;
856   kxc_stoptimer(kxc);
857   ksl_link(kx->ks, kxc->ks);
858 }
859
860 /* --- @doreply@ --- *
861  *
862  * Arguments:   @keyexch *kx@ = pointer to key exchange context
863  *              @buf *b@ = buffer containing packet
864  *
865  * Returns:     Zero if OK, nonzero if the packet was rejected.
866  *
867  * Use:         Handles a reply packet.  This doesn't handle the various
868  *              switch packets: they're rather too different.
869  */
870
871 static int doreply(keyexch *kx, buf *b)
872 {
873   kxchal *kxc;
874
875   if (kx->s != KXS_CHAL && kx->s != KXS_COMMIT) {
876     a_warn("KX", "?PEER", kx->p, "unexpected", "reply", A_END);
877     goto bad;
878   }
879   if ((kxc = respond(kx, KX_REPLY, b)) == 0 ||
880       decryptrest(kx, kxc, KX_REPLY, b) ||
881       checkresponse(kx, KX_REPLY, b))
882     goto bad;
883   if (BLEFT(b)) {
884     a_warn("KX", "?PEER", kx->p, "invalid", "reply", A_END);
885     goto bad;
886   }
887   if (kx->s == KXS_CHAL) {
888     commit(kx, kxc);
889     kx->s = KXS_COMMIT;
890   }
891   resend(kx);
892   return (0);
893
894 bad:
895   return (-1);
896 }
897
898 /* --- @kxfinish@ --- *
899  *
900  * Arguments:   @keyexch *kx@ = pointer to key exchange block
901  *
902  * Returns:     ---
903  *
904  * Use:         Sets everything up following a successful key exchange.
905  */
906
907 static void kxfinish(keyexch *kx)
908 {
909   kxchal *kxc = kx->r[0];
910   ks_activate(kxc->ks);
911   settimer(kx, ks_tregen(kxc->ks));
912   kx->s = KXS_SWITCH;
913   a_notify("KXDONE", "?PEER", kx->p, A_END);
914   p_stats(kx->p)->t_kx = time(0);
915 }
916
917 /* --- @doswitch@ --- *
918  *
919  * Arguments:   @keyexch *kx@ = pointer to key exchange block
920  *              @buf *b@ = pointer to buffer containing packet
921  *
922  * Returns:     Zero if OK, nonzero if the packet was rejected.
923  *
924  * Use:         Handles a reply with a switch request bolted onto it.
925  */
926
927 static int doswitch(keyexch *kx, buf *b)
928 {
929   const octet *hc_in, *hc_out, *hswrq;
930   kxchal *kxc;
931
932   if ((hc_in = buf_get(b, algs.hashsz)) == 0 ||
933       (hc_out = buf_get(b, algs.hashsz)) == 0) {
934     a_warn("KX", "?PEER", kx->p, "invalid", "switch-rq", A_END);
935     goto bad;
936   }
937   IF_TRACING(T_KEYEXCH, IF_TRACING(T_CRYPTO, {
938     trace_block(T_CRYPTO, "crypto: challenge", hc_in, algs.hashsz);
939     trace_block(T_CRYPTO, "crypto: cookie", hc_out, algs.hashsz);
940   }))
941   if ((kxc = kxc_byhc(kx, hc_in)) == 0 ||
942       memcmp(hc_out, kx->hc, algs.hashsz) != 0) {
943     a_warn("KX", "?PEER", kx->p, "incorrect", "switch-rq", A_END);
944     goto bad;
945   }
946   if (decryptrest(kx, kxc, KX_SWITCH, b) ||
947       checkresponse(kx, KX_SWITCH, b))
948     goto bad;
949   if ((hswrq = buf_get(b, algs.hashsz)) == 0 || BLEFT(b)) {
950     a_warn("KX", "?PEER", kx->p, "invalid", "switch-rq", A_END);
951     goto bad;
952   }
953   IF_TRACING(T_KEYEXCH, {
954     trace_block(T_CRYPTO, "crypto: switch request hash", hswrq, algs.hashsz);
955   })
956   if (memcmp(hswrq, kxc->hswrq_in, algs.hashsz) != 0) {
957     a_warn("KX", "?PEER", kx->p, "incorrect", "switch-rq", A_END);
958     goto bad;
959   }
960   if (kx->s == KXS_CHAL)
961     commit(kx, kxc);
962   if (kx->s < KXS_SWITCH)
963     kxfinish(kx);
964   resend(kx);
965   return (0);
966
967 bad:
968   return (-1);
969 }
970
971 /* --- @doswitchok@ --- *
972  *
973  * Arguments:   @keyexch *kx@ = pointer to key exchange block
974  *              @buf *b@ = pointer to buffer containing packet
975  *
976  * Returns:     Zero if OK, nonzero if the packet was rejected.
977  *
978  * Use:         Handles a reply with a switch request bolted onto it.
979  */
980
981 static int doswitchok(keyexch *kx, buf *b)
982 {
983   const octet *hswok;
984   kxchal *kxc;
985   buf bb;
986
987   if (kx->s < KXS_COMMIT) {
988     a_warn("KX", "?PEER", kx->p, "unexpected", "switch-ok", A_END);
989     goto bad;
990   }
991   kxc = kx->r[0];
992   buf_init(&bb, buf_o, sizeof(buf_o));
993   if (decryptrest(kx, kxc, KX_SWITCHOK, b))
994     goto bad;
995   if ((hswok = buf_get(b, algs.hashsz)) == 0 || BLEFT(b)) {
996     a_warn("KX", "?PEER", kx->p, "invalid", "switch-ok", A_END);
997     goto bad;
998   }
999   IF_TRACING(T_KEYEXCH, {
1000     trace_block(T_CRYPTO, "crypto: switch confirmation hash",
1001                 hswok, algs.hashsz);
1002   })
1003   if (memcmp(hswok, kxc->hswok_in, algs.hashsz) != 0) {
1004     a_warn("KX", "?PEER", kx->p, "incorrect", "switch-ok", A_END);
1005     goto bad;
1006   }
1007   if (kx->s < KXS_SWITCH)
1008     kxfinish(kx);
1009   return (0);
1010
1011 bad:
1012   return (-1);
1013 }
1014
1015 /*----- Main code ---------------------------------------------------------*/
1016
1017 /* --- @stop@ --- *
1018  *
1019  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1020  *
1021  * Returns:     ---
1022  *
1023  * Use:         Stops a key exchange dead in its tracks.  Throws away all of
1024  *              the context information.  The context is left in an
1025  *              inconsistent state.  The only functions which understand this
1026  *              state are @kx_free@ and @kx_init@ (which cause it internally
1027  *              it), and @start@ (which expects it to be the prevailing
1028  *              state).
1029  */
1030
1031 static void stop(keyexch *kx)
1032 {
1033   unsigned i;
1034
1035   if (kx->f & KXF_DEAD)
1036     return;
1037
1038   if (kx->f & KXF_TIMER)
1039     sel_rmtimer(&kx->t);
1040   for (i = 0; i < kx->nr; i++)
1041     kxc_destroy(kx->r[i]);
1042   mp_drop(kx->alpha);
1043   G_DESTROY(gg, kx->c);
1044   G_DESTROY(gg, kx->rx);
1045   kx->t_valid = 0;
1046   kx->f |= KXF_DEAD;
1047   kx->f &= ~KXF_TIMER;
1048 }
1049
1050 /* --- @start@ --- *
1051  *
1052  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1053  *              @time_t now@ = the current time
1054  *
1055  * Returns:     ---
1056  *
1057  * Use:         Starts a new key exchange with the peer.  The context must be
1058  *              in the bizarre state left by @stop@ or @kx_init@.
1059  */
1060
1061 static void start(keyexch *kx, time_t now)
1062 {
1063   ghash *h;
1064
1065   assert(kx->f & KXF_DEAD);
1066
1067   kx->f &= ~(KXF_DEAD | KXF_CORK);
1068   kx->nr = 0;
1069   kx->alpha = mprand_range(MP_NEW, gg->r, &rand_global, 0);
1070   kx->c = G_CREATE(gg); G_EXP(gg, kx->c, gg->g, kx->alpha);
1071   kx->rx = G_CREATE(gg); G_EXP(gg, kx->rx, kx->kpub, kx->alpha);
1072   kx->s = KXS_CHAL;
1073   kx->t_valid = now + T_VALID;
1074
1075   h = GH_INIT(algs.h);
1076   HASH_STRING(h, "tripe-cookie");
1077   hashge(h, kx->c);
1078   GH_DONE(h, kx->hc);
1079   GH_DESTROY(h);
1080
1081   IF_TRACING(T_KEYEXCH, {
1082     trace(T_KEYEXCH, "keyexch: creating new challenge");
1083     IF_TRACING(T_CRYPTO, {
1084       trace(T_CRYPTO, "crypto: secret = %s", mpstr(kx->alpha));
1085       trace(T_CRYPTO, "crypto: challenge = %s", gestr(gg, kx->c));
1086       trace(T_CRYPTO, "crypto: expected response = %s", gestr(gg, kx->rx));
1087       trace_block(T_CRYPTO, "crypto: challenge cookie", kx->hc, algs.hashsz);
1088     })
1089   })
1090 }
1091
1092 /* --- @checkpub@ --- *
1093  *
1094  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1095  *
1096  * Returns:     Zero if OK, nonzero if the peer's public key has expired.
1097  *
1098  * Use:         Deactivates the key-exchange until the peer acquires a new
1099  *              public key.
1100  */
1101
1102 static int checkpub(keyexch *kx)
1103 {
1104   time_t now;
1105   if (kx->f & KXF_DEAD)
1106     return (-1);
1107   now = time(0);
1108   if (KEY_EXPIRED(now, kx->texp_kpub)) {
1109     stop(kx);
1110     a_warn("KX", "?PEER", kx->p, "public-key-expired", A_END);
1111     G_COPY(gg, kx->kpub, gg->i);
1112     kx->f &= ~KXF_PUBKEY;
1113     return (-1);
1114   }
1115   return (0);
1116 }
1117
1118 /* --- @kx_start@ --- *
1119  *
1120  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1121  *              @int forcep@ = nonzero to ignore the quiet timer
1122  *
1123  * Returns:     ---
1124  *
1125  * Use:         Stimulates a key exchange.  If a key exchage is in progress,
1126  *              a new challenge is sent (unless the quiet timer forbids
1127  *              this); if no exchange is in progress, one is commenced.
1128  */
1129
1130 void kx_start(keyexch *kx, int forcep)
1131 {
1132   time_t now = time(0);
1133
1134   if (checkpub(kx))
1135     return;
1136   if (forcep || !VALIDP(kx, now)) {
1137     stop(kx);
1138     start(kx, now);
1139     a_notify("KXSTART", "?PEER", kx->p, A_END);
1140   }
1141   resend(kx);
1142 }
1143
1144 /* --- @kx_message@ --- *
1145  *
1146  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1147  *              @unsigned msg@ = the message code
1148  *              @buf *b@ = pointer to buffer containing the packet
1149  *
1150  * Returns:     ---
1151  *
1152  * Use:         Reads a packet containing key exchange messages and handles
1153  *              it.
1154  */
1155
1156 void kx_message(keyexch *kx, unsigned msg, buf *b)
1157 {
1158   time_t now = time(0);
1159   stats *st = p_stats(kx->p);
1160   size_t sz = BSZ(b);
1161   int rc;
1162
1163   if (kx->f & KXF_CORK) {
1164     start(kx, now);
1165     settimer(kx, now + T_RETRY);
1166     a_notify("KXSTART", A_END);
1167   }
1168
1169   if (checkpub(kx))
1170     return;
1171
1172   if (!VALIDP(kx, now)) {
1173     stop(kx);
1174     start(kx, now);
1175   }
1176   T( trace(T_KEYEXCH, "keyexch: processing %s packet from `%s'",
1177            msg < KX_NMSG ? pkname[msg] : "unknown", p_name(kx->p)); )
1178
1179   switch (msg) {
1180     case KX_PRECHAL:
1181       rc = doprechallenge(kx, b);
1182       break;
1183     case KX_CHAL:
1184       rc = dochallenge(kx, b);
1185       break;
1186     case KX_REPLY:
1187       rc = doreply(kx, b);
1188       break;
1189     case KX_SWITCH:
1190       rc = doswitch(kx, b);
1191       break;
1192     case KX_SWITCHOK:
1193       rc = doswitchok(kx, b);
1194       break;
1195     default:
1196       a_warn("KX", "?PEER", kx->p, "unknown-message", "0x%02x", msg, A_END);
1197       rc = -1;
1198       break;
1199   }
1200
1201   if (rc)
1202     st->n_reject++;
1203   else {
1204     st->n_kxin++;
1205     st->sz_kxin += sz;
1206   }
1207 }
1208
1209 /* --- @kx_free@ --- *
1210  *
1211  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1212  *
1213  * Returns:     ---
1214  *
1215  * Use:         Frees everything in a key exchange context.
1216  */
1217
1218 void kx_free(keyexch *kx)
1219 {
1220   stop(kx);
1221   G_DESTROY(gg, kx->kpub);
1222 }
1223
1224 /* --- @kx_newkeys@ --- *
1225  *
1226  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1227  *
1228  * Returns:     ---
1229  *
1230  * Use:         Informs the key exchange module that its keys may have
1231  *              changed.  If fetching the new keys fails, the peer will be
1232  *              destroyed, we log messages and struggle along with the old
1233  *              keys.
1234  */
1235
1236 void kx_newkeys(keyexch *kx)
1237 {
1238   if (km_getpubkey(p_name(kx->p), kx->kpub, &kx->texp_kpub))
1239     return;
1240   kx->f |= KXF_PUBKEY;
1241   if ((kx->f & KXF_DEAD) || kx->s != KXS_SWITCH) {
1242     T( trace(T_KEYEXCH, "keyexch: restarting key negotiation with `%s'",
1243              p_name(kx->p)); )
1244     stop(kx);
1245     start(kx, time(0));
1246     resend(kx);
1247   }
1248 }
1249
1250 /* --- @kx_init@ --- *
1251  *
1252  * Arguments:   @keyexch *kx@ = pointer to key exchange context
1253  *              @peer *p@ = pointer to peer context
1254  *              @keyset **ks@ = pointer to keyset list
1255  *              @unsigned f@ = various useful flags
1256  *
1257  * Returns:     Zero if OK, nonzero if it failed.
1258  *
1259  * Use:         Initializes a key exchange module.  The module currently
1260  *              contains no keys, and will attempt to initiate a key
1261  *              exchange.
1262  */
1263
1264 int kx_init(keyexch *kx, peer *p, keyset **ks, unsigned f)
1265 {
1266   kx->ks = ks;
1267   kx->p = p;
1268   kx->kpub = G_CREATE(gg);
1269   if (km_getpubkey(p_name(p), kx->kpub, &kx->texp_kpub)) {
1270     G_DESTROY(gg, kx->kpub);
1271     return (-1);
1272   }
1273   kx->f = KXF_DEAD | KXF_PUBKEY | f;
1274   if (!(kx->f & KXF_CORK)) {
1275     start(kx, time(0));
1276     resend(kx);
1277     /* Don't notify here: the ADD message hasn't gone out yet. */
1278   }
1279   return (0);
1280 }
1281
1282 /*----- That's all, folks -------------------------------------------------*/