chiark / gitweb /
~mdw / tripe / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
blame | history | raw | HEAD
server/peer.c: Delay updating peer stats.
[tripe] / server / keyset.c
1 /* -*-c-*-
2  *
3  * Handling of symmetric keysets
4  *
5  * (c) 2001 Straylight/Edgeware
6  */
7
8 /*----- Licensing notice --------------------------------------------------*
9  *
10  * This file is part of Trivial IP Encryption (TrIPE).
11  *
12  * TrIPE is free software; you can redistribute it and/or modify
13  * it under the terms of the GNU General Public License as published by
14  * the Free Software Foundation; either version 2 of the License, or
15  * (at your option) any later version.
16  *
17  * TrIPE is distributed in the hope that it will be useful,
18  * but WITHOUT ANY WARRANTY; without even the implied warranty of
19  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
20  * GNU General Public License for more details.
21  *
22  * You should have received a copy of the GNU General Public License
23  * along with TrIPE; if not, write to the Free Software Foundation,
24  * Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
25  */
26
27 /*----- Header files ------------------------------------------------------*/
28
29 #include "tripe.h"
30
31 /*----- Tunable parameters ------------------------------------------------*/
32
33 #define T_EXP MIN(60)                   /* Expiry time for a key */
34 #define T_REGEN MIN(45)                 /* Regeneration time for a key */
35
36 /*----- Handy macros ------------------------------------------------------*/
37
38 #define KEYOK(ks, now) ((ks)->sz_exp > 0 && (ks)->t_exp > now)
39
40 #define SEQSZ 4                         /* Size of sequence number packet */
41
42 /*----- Low-level packet encryption and decryption ------------------------*/
43
44 /* --- Encrypted data format --- *
45  *
46  * Let %$p_i$% be the %$i$%-th plaintext message, with type %$t$%.  We first
47  * compute
48  *
49  *   %$c_i = \mathcal{E}\textrm{-CBC}_{K_{\text{E}}}(p_i)$%
50  *
51  * as the CBC-ciphertext of %$p_i$%, and then
52  *
53  *   %$\sigma_i = \mathcal{T}_{K_{\text{M}}}(t, i, c_i)$%
54  *
55  * as a MAC on the %%\emph{ciphertext}%%.  The message sent is then the pair
56  * %$(\sigma_i, c_i)$%.  This construction is provably secure in the NM-CCA
57  * sense (assuming that the cipher is IND-CPA, and the MAC is SUF-CMA)
58  * [Bellare and Namprempre].
59  *
60  * This also ensures that, assuming the key is good, we have a secure channel
61  * [Krawczyk].  Actually, [Krawczyk] shows that, if the cipher is either a
62  * simple stream cipher or a block cipher in CBC mode, we can use the MAC-
63  * then-encrypt scheme and still have a secure channel.  However, I like the
64  * NM-CCA guarantee from [Bellare and Namprempre].  I'm less worried about
65  * the Horton Principle [Wagner and Schneier].
66  */
67
68 /* --- @doencrypt@ --- *
69  *
70  * Arguments:   @keyset *ks@ = pointer to keyset to use
71  *              @unsigned ty@ = type of message this is
72  *              @buf *b@ = pointer to an input buffer
73  *              @buf *bb@ = pointer to an output buffer
74  *
75  * Returns:     Zero if OK; @KSERR_REGEN@ if it's time to generate new keys.
76  *              Also returns zero if there was insufficient buffer space, but
77  *              the buffer is broken in this case.
78  *
79  * Use:         Encrypts a message with the given key.  We assume that the
80  *              keyset is OK to use.
81  */
82
83 static int doencrypt(keyset *ks, unsigned ty, buf *b, buf *bb)
84 {
85   ghash *h;
86   gcipher *c = ks->cout;
87   const octet *p = BCUR(b);
88   size_t sz = BLEFT(b);
89   octet *qmac, *qseq, *qiv, *qpk;
90   uint32 oseq;
91   size_t ivsz = GC_CLASS(c)->blksz;
92   size_t tagsz = ks->tagsz;
93   size_t osz, nsz;
94   octet t[4];
95   int rc = 0;
96
97   /* --- Allocate the required buffer space --- */
98
99   if (buf_ensure(bb, tagsz + SEQSZ + ivsz + sz))
100     return (0); /* Caution! */
101   qmac = BCUR(bb); qseq = qmac + tagsz; qiv = qseq + SEQSZ; qpk = qiv + ivsz;
102   BSTEP(bb, tagsz + SEQSZ + ivsz + sz);
103   STORE32(t, ty);
104
105   oseq = ks->oseq++; STORE32(qseq, oseq);
106   IF_TRACING(T_KEYSET, {
107     trace(T_KEYSET, "keyset: encrypting packet %lu using keyset %u",
108           (unsigned long)oseq, ks->seq);
109     trace_block(T_CRYPTO, "crypto: plaintext packet", p, sz);
110   })
111
112   /* --- Encrypt the packet --- */
113
114   if (ivsz) {
115     rand_get(RAND_GLOBAL, qiv, ivsz);
116     GC_SETIV(c, qiv);
117     IF_TRACING(T_KEYSET, {
118       trace_block(T_CRYPTO, "crypto: initialization vector", qiv, ivsz);
119     })
120   }
121   GC_ENCRYPT(c, p, qpk, sz);
122   IF_TRACING(T_KEYSET, {
123     trace_block(T_CRYPTO, "crypto: encrypted packet", qpk, sz);
124   })
125
126   /* --- Now compute the MAC --- */
127
128   if (tagsz) {
129     h = GM_INIT(ks->mout);
130     GH_HASH(h, t, sizeof(t));
131     GH_HASH(h, qseq, SEQSZ + ivsz + sz);
132     memcpy(qmac, GH_DONE(h, 0), tagsz);
133     GH_DESTROY(h);
134     IF_TRACING(T_KEYSET, {
135       trace_block(T_CRYPTO, "crypto: computed MAC", qmac, tagsz);
136     })
137   }
138
139   /* --- Deduct the packet size from the key's data life --- */
140
141   osz = ks->sz_exp;
142   if (osz > sz)
143     nsz = osz - sz;
144   else
145     nsz = 0;
146   if (osz >= ks->sz_regen && ks->sz_regen > nsz) {
147     T( trace(T_KEYSET, "keyset: keyset %u data regen limit exceeded -- "
148              "forcing exchange", ks->seq); )
149     rc = KSERR_REGEN;
150   }
151   ks->sz_exp = nsz;
152   return (rc);
153 }
154
155 /* --- @dodecrypt@ --- *
156  *
157  * Arguments:   @keyset *ks@ = pointer to keyset to use
158  *              @unsigned ty@ = expected type code
159  *              @buf *b@ = pointer to an input buffer
160  *              @buf *bb@ = pointer to an output buffer
161  *              @uint32 *seq@ = where to store the sequence number
162  *
163  * Returns:     Zero on success; @KSERR_DECRYPT@ on failure.
164  *
165  * Use:         Attempts to decrypt a message with the given key.  No other
166  *              checking (e.g., sequence number checks) is performed.  We
167  *              assume that the keyset is OK to use, and that there is
168  *              sufficient output buffer space reserved.  If the decryption
169  *              is successful, the buffer pointer is moved past the decrypted
170  *              packet, and the packet's sequence number is stored in @*seq@.
171  */
172
173 static int dodecrypt(keyset *ks, unsigned ty, buf *b, buf *bb, uint32 *seq)
174 {
175   const octet *pmac, *piv, *pseq, *ppk;
176   size_t psz = BLEFT(b);
177   size_t sz;
178   octet *q = BCUR(bb);
179   ghash *h;
180   gcipher *c = ks->cin;
181   size_t ivsz = GC_CLASS(c)->blksz;
182   size_t tagsz = ks->tagsz;
183   octet *mac;
184   int eq;
185   octet t[4];
186
187   /* --- Break up the packet into its components --- */
188
189   if (psz < ivsz + SEQSZ + tagsz) {
190     T( trace(T_KEYSET, "keyset: block too small for keyset %u", ks->seq); )
191     return (KSERR_MALFORMED);
192   }
193   sz = psz - ivsz - SEQSZ - tagsz;
194   pmac = BCUR(b); pseq = pmac + tagsz; piv = pseq + SEQSZ; ppk = piv + ivsz;
195   STORE32(t, ty);
196
197   IF_TRACING(T_KEYSET, {
198     trace(T_KEYSET, "keyset: decrypting using keyset %u", ks->seq);
199     trace_block(T_CRYPTO, "crypto: ciphertext packet", ppk, sz);
200   })
201
202   /* --- Verify the MAC on the packet --- */
203
204   if (tagsz) {
205     h = GM_INIT(ks->min);
206     GH_HASH(h, t, sizeof(t));
207     GH_HASH(h, pseq, SEQSZ + ivsz + sz);
208     mac = GH_DONE(h, 0);
209     eq = !memcmp(mac, pmac, tagsz);
210     IF_TRACING(T_KEYSET, {
211       trace_block(T_CRYPTO, "crypto: computed MAC", mac, tagsz);
212     })
213     GH_DESTROY(h);
214     if (!eq) {
215       IF_TRACING(T_KEYSET, {
216         trace(T_KEYSET, "keyset: incorrect MAC: decryption failed");
217         trace_block(T_CRYPTO, "crypto: expected MAC", pmac, tagsz);
218       })
219       return (KSERR_DECRYPT);
220     }
221   }
222
223   /* --- Decrypt the packet --- */
224
225   if (ivsz) {
226     GC_SETIV(c, piv);
227     IF_TRACING(T_KEYSET, {
228       trace_block(T_CRYPTO, "crypto: initialization vector", piv, ivsz);
229     })
230   }
231   GC_DECRYPT(c, ppk, q, sz);
232   if (seq)
233     *seq = LOAD32(pseq);
234   IF_TRACING(T_KEYSET, {
235     trace(T_KEYSET, "keyset: decrypted OK (sequence = %lu)",
236           (unsigned long)LOAD32(pseq));
237     trace_block(T_CRYPTO, "crypto: decrypted packet", q, sz);
238   })
239   BSTEP(bb, sz);
240   return (0);
241 }
242
243 /*----- Operations on a single keyset -------------------------------------*/
244
245 /* --- @ks_drop@ --- *
246  *
247  * Arguments:   @keyset *ks@ = pointer to a keyset
248  *
249  * Returns:     ---
250  *
251  * Use:         Decrements a keyset's reference counter.  If the counter hits
252  *              zero, the keyset is freed.
253  */
254
255 void ks_drop(keyset *ks)
256 {
257   if (--ks->ref)
258     return;
259   GC_DESTROY(ks->cin);
260   GC_DESTROY(ks->cout);
261   GM_DESTROY(ks->min);
262   GM_DESTROY(ks->mout);
263   DESTROY(ks);
264 }
265
266 /* --- @ks_gen@ --- *
267  *
268  * Arguments:   @const void *k@ = pointer to key material
269  *              @size_t x, y, z@ = offsets into key material (see below)
270  *              @peer *p@ = pointer to peer information
271  *
272  * Returns:     A pointer to the new keyset.
273  *
274  * Use:         Derives a new keyset from the given key material.  The
275  *              offsets @x@, @y@ and @z@ separate the key material into three
276  *              parts.  Between the @k@ and @k + x@ is `my' contribution to
277  *              the key material; between @k + x@ and @k + y@ is `your'
278  *              contribution; and between @k + y@ and @k + z@ is a shared
279  *              value we made together.  These are used to construct two
280  *              pairs of symmetric keys.  Each pair consists of an encryption
281  *              key and a message authentication key.  One pair is used for
282  *              outgoing messages, the other for incoming messages.
283  *
284  *              The new key is marked so that it won't be selected for output
285  *              by @ksl_encrypt@.  You can still encrypt data with it by
286  *              calling @ks_encrypt@ directly.
287  */
288
289 keyset *ks_gen(const void *k, size_t x, size_t y, size_t z, peer *p)
290 {
291   ghash *h;
292   const octet *hh;
293   keyset *ks = CREATE(keyset);
294   time_t now = time(0);
295   const octet *pp = k;
296   T( static unsigned seq = 0; )
297
298   T( trace(T_KEYSET, "keyset: adding new keyset %u", seq); )
299
300   /* --- Construct the various keys --- *
301    *
302    * This is done with macros, because it's quite tedious.
303    */
304
305 #define MINE GH_HASH(h, pp, x)
306 #define YOURS GH_HASH(h, pp + x, y - x)
307 #define OURS GH_HASH(h, pp + y, z - y)
308
309 #define HASH_in MINE; YOURS; OURS
310 #define HASH_out YOURS; MINE; OURS
311 #define INIT_c(k) GC_INIT(algs.c, (k), algs.cksz)
312 #define INIT_m(k) GM_KEY(algs.m, (k), algs.mksz)
313 #define STR_c "encryption"
314 #define STR_m "integrity"
315 #define STR_in "incoming"
316 #define STR_out "outgoing"
317
318 #define SETKEY(a, dir) do {                                             \
319   h = GH_INIT(algs.h);                                                  \
320   HASH_STRING(h, "tripe-" STR_##a);                                     \
321   HASH_##dir;                                                           \
322   hh = GH_DONE(h, 0);                                                   \
323   IF_TRACING(T_KEYSET, {                                                \
324     trace_block(T_CRYPTO, "crypto: " STR_##dir " key " STR_##a,         \
325                 hh, algs.a##ksz);                                       \
326   })                                                                    \
327   ks->a##dir = INIT_##a(hh);                                            \
328   GH_DESTROY(h);                                                        \
329 } while (0)
330
331   SETKEY(c, in); SETKEY(c, out);
332   SETKEY(m, in); SETKEY(m, out);
333
334 #undef MINE
335 #undef YOURS
336 #undef OURS
337 #undef STR_c
338 #undef STR_m
339 #undef STR_in
340 #undef STR_out
341 #undef INIT_c
342 #undef INIT_m
343 #undef HASH_in
344 #undef HASH_out
345 #undef SETKEY
346
347   T( ks->seq = seq++; )
348   ks->ref = 1;
349   ks->t_exp = now + T_EXP;
350   ks->sz_exp = algs.expsz;
351   ks->sz_regen = algs.expsz/2;
352   ks->oseq = 0;
353   seq_reset(&ks->iseq);
354   ks->next = 0;
355   ks->p = p;
356   ks->f = KSF_LISTEN;
357   ks->tagsz = algs.tagsz;
358   return (ks);
359 }
360
361 /* --- @ks_tregen@ --- *
362  *
363  * Arguments:   @keyset *ks@ = pointer to a keyset
364  *
365  * Returns:     The time at which moves ought to be made to replace this key.
366  */
367
368 time_t ks_tregen(keyset *ks) { return (ks->t_exp - T_EXP + T_REGEN); }
369
370 /* --- @ks_activate@ --- *
371  *
372  * Arguments:   @keyset *ks@ = pointer to a keyset
373  *
374  * Returns:     ---
375  *
376  * Use:         Activates a keyset, so that it can be used for encrypting
377  *              outgoing messages.
378  */
379
380 void ks_activate(keyset *ks)
381 {
382   if (ks->f & KSF_LISTEN) {
383     T( trace(T_KEYSET, "keyset: activating keyset %u", ks->seq); )
384     ks->f &= ~KSF_LISTEN;
385   }
386 }
387
388 /* --- @ks_encrypt@ --- *
389  *
390  * Arguments:   @keyset *ks@ = pointer to a keyset
391  *              @unsigned ty@ = message type
392  *              @buf *b@ = pointer to input buffer
393  *              @buf *bb@ = pointer to output buffer
394  *
395  * Returns:     Zero if successful; @KSERR_REGEN@ if we should negotiate a
396  *              new key; @KSERR_NOKEYS@ if the key is not usable.  Also
397  *              returns zero if there was insufficient buffer (but the output
398  *              buffer is broken in this case).
399  *
400  * Use:         Encrypts a block of data using the key.  Note that the `key
401  *              ought to be replaced' notification is only ever given once
402  *              for each key.  Also note that this call forces a keyset to be
403  *              used even if it's marked as not for data output.
404  */
405
406 int ks_encrypt(keyset *ks, unsigned ty, buf *b, buf *bb)
407 {
408   time_t now = time(0);
409
410   if (!KEYOK(ks, now)) {
411     buf_break(bb);
412     return (KSERR_NOKEYS);
413   }
414   return (doencrypt(ks, ty, b, bb));
415 }
416
417 /* --- @ks_decrypt@ --- *
418  *
419  * Arguments:   @keyset *ks@ = pointer to a keyset
420  *              @unsigned ty@ = expected type code
421  *              @buf *b@ = pointer to an input buffer
422  *              @buf *bb@ = pointer to an output buffer
423  *
424  * Returns:     Zero on success; @KSERR_...@ on failure.  Also returns
425  *              zero if there was insufficient buffer (but the output buffer
426  *              is broken in this case).
427  *
428  * Use:         Attempts to decrypt a message using a given key.  Note that
429  *              requesting decryption with a key directly won't clear a
430  *              marking that it's not for encryption.
431  */
432
433 int ks_decrypt(keyset *ks, unsigned ty, buf *b, buf *bb)
434 {
435   time_t now = time(0);
436   uint32 seq;
437   int err;
438
439   if (!KEYOK(ks, now)) return (KSERR_DECRYPT);
440   if (buf_ensure(bb, BLEN(b))) return (0);
441   if ((err = dodecrypt(ks, ty, b, bb, &seq)) != 0) return (err);
442   if (seq_check(&ks->iseq, seq, "SYMM")) return (KSERR_SEQ);
443   return (0);
444 }
445
446 /*----- Keyset list handling ----------------------------------------------*/
447
448 /* --- @ksl_free@ --- *
449  *
450  * Arguments:   @keyset **ksroot@ = pointer to keyset list head
451  *
452  * Returns:     ---
453  *
454  * Use:         Frees (releases references to) all of the keys in a keyset.
455  */
456
457 void ksl_free(keyset **ksroot)
458 {
459   keyset *ks, *ksn;
460   for (ks = *ksroot; ks; ks = ksn) {
461     ksn = ks->next;
462     ks->f &= ~KSF_LINK;
463     ks_drop(ks);
464   }
465 }
466
467 /* --- @ksl_link@ --- *
468  *
469  * Arguments:   @keyset **ksroot@ = pointer to keyset list head
470  *              @keyset *ks@ = pointer to a keyset
471  *
472  * Returns:     ---
473  *
474  * Use:         Links a keyset into a list.  A keyset can only be on one list
475  *              at a time.  Bad things happen otherwise.
476  */
477
478 void ksl_link(keyset **ksroot, keyset *ks)
479 {
480   assert(!(ks->f & KSF_LINK));
481   ks->next = *ksroot;
482   *ksroot = ks;
483   ks->f |= KSF_LINK;
484   ks->ref++;
485 }
486
487 /* --- @ksl_prune@ --- *
488  *
489  * Arguments:   @keyset **ksroot@ = pointer to keyset list head
490  *
491  * Returns:     ---
492  *
493  * Use:         Prunes the keyset list by removing keys which mustn't be used
494  *              any more.
495  */
496
497 void ksl_prune(keyset **ksroot)
498 {
499   time_t now = time(0);
500
501   while (*ksroot) {
502     keyset *ks = *ksroot;
503
504     if (ks->t_exp <= now) {
505       T( trace(T_KEYSET, "keyset: expiring keyset %u (time limit reached)",
506                ks->seq); )
507       goto kill;
508     } else if (ks->sz_exp == 0) {
509       T( trace(T_KEYSET, "keyset: expiring keyset %u (data limit reached)",
510                ks->seq); )
511       goto kill;
512     } else {
513       ksroot = &ks->next;
514       continue;
515     }
516
517   kill:
518     *ksroot = ks->next;
519     ks->f &= ~KSF_LINK;
520     ks_drop(ks);
521   }
522 }
523
524 /* --- @ksl_encrypt@ --- *
525  *
526  * Arguments:   @keyset **ksroot@ = pointer to keyset list head
527  *              @unsigned ty@ = message type
528  *              @buf *b@ = pointer to input buffer
529  *              @buf *bb@ = pointer to output buffer
530  *
531  * Returns:     Zero if successful; @KSERR_REGEN@ if it's time to negotiate a
532  *              new key; @KSERR_NOKEYS@ if there are no suitable keys
533  *              available.  Also returns zero if there was insufficient
534  *              buffer space (but the output buffer is broken in this case).
535  *
536  * Use:         Encrypts a packet.
537  */
538
539 int ksl_encrypt(keyset **ksroot, unsigned ty, buf *b, buf *bb)
540 {
541   time_t now = time(0);
542   keyset *ks = *ksroot;
543
544   for (;;) {
545     if (!ks) {
546       T( trace(T_KEYSET, "keyset: no suitable keysets found"); )
547       buf_break(bb);
548       return (KSERR_NOKEYS);
549     }
550     if (KEYOK(ks, now) && !(ks->f & KSF_LISTEN))
551       break;
552     ks = ks->next;
553   }
554
555   return (doencrypt(ks, ty, b, bb));
556 }
557
558 /* --- @ksl_decrypt@ --- *
559  *
560  * Arguments:   @keyset **ksroot@ = pointer to keyset list head
561  *              @unsigned ty@ = expected type code
562  *              @buf *b@ = pointer to input buffer
563  *              @buf *bb@ = pointer to output buffer
564  *
565  * Returns:     Zero on success; @KSERR_DECRYPT@ on failure.  Also returns
566  *              zero if there was insufficient buffer (but the output buffer
567  *              is broken in this case).
568  *
569  * Use:         Decrypts a packet.
570  */
571
572 int ksl_decrypt(keyset **ksroot, unsigned ty, buf *b, buf *bb)
573 {
574   time_t now = time(0);
575   keyset *ks;
576   uint32 seq;
577   int err;
578
579   if (buf_ensure(bb, BLEN(b)))
580     return (0);
581
582   for (ks = *ksroot; ks; ks = ks->next) {
583     if (!KEYOK(ks, now))
584       continue;
585     if ((err = dodecrypt(ks, ty, b, bb, &seq)) == 0) {
586       if (ks->f & KSF_LISTEN) {
587         T( trace(T_KEYSET, "keyset: implicitly activating keyset %u",
588                  ks->seq); )
589         ks->f &= ~KSF_LISTEN;
590       }
591       if (seq_check(&ks->iseq, seq, "SYMM"))
592         return (KSERR_SEQ);
593       else
594         return (0);
595     }
596     if (err != KSERR_DECRYPT) return (err);
597   }
598   T( trace(T_KEYSET, "keyset: no matching keys, or incorrect MAC"); )
599   return (KSERR_DECRYPT);
600 }
601
602 /*----- That's all, folks -------------------------------------------------*/
Trivial IP Encryption: a simple VPN