chiark / gitweb /
~mdw / tripe / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
blame | history | raw | HEAD
Correctly tokenize output to admin clients.
[tripe] / keyset.c
1 /* -*-c-*-
2  *
3  * $Id$
4  *
5  * Handling of symmetric keysets
6  *
7  * (c) 2001 Straylight/Edgeware
8  */
9
10 /*----- Licensing notice --------------------------------------------------* 
11  *
12  * This file is part of Trivial IP Encryption (TrIPE).
13  *
14  * TrIPE is free software; you can redistribute it and/or modify
15  * it under the terms of the GNU General Public License as published by
16  * the Free Software Foundation; either version 2 of the License, or
17  * (at your option) any later version.
18  * 
19  * TrIPE is distributed in the hope that it will be useful,
20  * but WITHOUT ANY WARRANTY; without even the implied warranty of
21  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
22  * GNU General Public License for more details.
23  * 
24  * You should have received a copy of the GNU General Public License
25  * along with TrIPE; if not, write to the Free Software Foundation,
26  * Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
27  */
28
29 /*----- Header files ------------------------------------------------------*/
30
31 #include "tripe.h"
32
33 /*----- Tunable parameters ------------------------------------------------*/
34
35 /* --- Note on size limits --- *
36  *
37  * For a 64-bit block cipher (e.g., Blowfish), the probability of a collision
38  * occurring after 32 MB is less than %$2^{-21}$%, and the probability of a
39  * collision occurring after 64 MB is less than %$2^{-19}$%.  These could be
40  * adjusted dependent on the encryption scheme, but it's too much pain.
41  */
42
43 #define T_EXP MIN(60)                   /* Expiry time for a key */
44 #define T_REGEN MIN(45)                 /* Regeneration time for a key */
45 #define SZ_EXP MEG(64)                  /* Expiry data size for a key */
46 #define SZ_REGEN MEG(32)                /* Data size threshold for regen */
47
48 /*----- Handy macros ------------------------------------------------------*/
49
50 #define KEYOK(ks, now) ((ks)->sz_exp > 0 && (ks)->t_exp > now)
51
52 #define SEQSZ 4                         /* Size of sequence number packet */
53
54 /*----- Low-level packet encryption and decryption ------------------------*/
55
56 /* --- Encrypted data format --- *
57  *
58  * Let %$p_i$% be the %$i$%-th plaintext message, with type %$t$%.  We first
59  * compute 
60  *
61  *   %$c_i = \mathcal{E}\textrm{-CBC}_{K_{\text{E}}}(p_i)$%
62  *
63  * as the CBC-ciphertext of %$p_i$%, and then
64  *
65  *   %$\sigma_i = \mathcal{T}_{K_{\text{M}}}(t, i, c_i)$%
66  *
67  * as a MAC on the %%\emph{ciphertext}%%.  The message sent is then the pair
68  * %$(\sigma_i, c_i)$%.  This construction is provably secure in the NM-CCA
69  * sense (assuming that the cipher is IND-CPA, and the MAC is SUF-CMA)
70  * [Bellare and Namprempre].
71  *
72  * This also ensures that, assuming the key is good, we have a secure channel
73  * [Krawczyk].  Actually, [Krawczyk] shows that, if the cipher is either a
74  * simple stream cipher or a block cipher in CBC mode, we can use the MAC-
75  * then-encrypt scheme and still have a secure channel.  However, I like the
76  * NM-CCA guarantee from [Bellare and Namprempre].  I'm less worried about
77  * the Horton Principle [Wagner and Schneier].
78  */
79
80 /* --- @doencrypt@ --- *
81  *
82  * Arguments:   @keyset *ks@ = pointer to keyset to use
83  *              @unsigned ty@ = type of message this is
84  *              @buf *b@ = pointer to an input buffer
85  *              @buf *bb@ = pointer to an output buffer
86  *
87  * Returns:     Zero if OK, nonzero if a new key is required.
88  *
89  * Use:         Encrypts a message with the given key.  We assume that the
90  *              keyset is OK to use.
91  */
92
93 static int doencrypt(keyset *ks, unsigned ty, buf *b, buf *bb)
94 {
95   ghash *h;
96   gcipher *c = ks->cout;
97   const octet *p = BCUR(b);
98   size_t sz = BLEFT(b);
99   octet *qmac, *qseq, *qiv, *qpk;
100   uint32 oseq;
101   size_t ivsz = GC_CLASS(c)->blksz;
102   size_t tagsz = ks->tagsz;
103   size_t osz, nsz;
104   octet t[4];
105   int rc = 0;
106
107   /* --- Allocate the required buffer space --- */
108
109   if (buf_ensure(bb, tagsz + SEQSZ + ivsz + sz))
110     return (0); /* Caution! */
111   qmac = BCUR(bb); qseq = qmac + tagsz; qiv = qseq + SEQSZ; qpk = qiv + ivsz;
112   BSTEP(bb, tagsz + SEQSZ + ivsz + sz);
113   STORE32(t, ty);
114
115   oseq = ks->oseq++; STORE32(qseq, oseq);
116   IF_TRACING(T_KEYSET, {
117     trace(T_KEYSET, "keyset: encrypting packet %lu using keyset %u",
118           (unsigned long)oseq, ks->seq);
119     trace_block(T_CRYPTO, "crypto: plaintext packet", p, sz);
120   })
121
122   /* --- Encrypt the packet --- */
123
124   if (ivsz) {
125     rand_get(RAND_GLOBAL, qiv, ivsz);
126     GC_SETIV(c, qiv);
127     IF_TRACING(T_KEYSET, {
128       trace_block(T_CRYPTO, "crypto: initialization vector", qiv, ivsz);
129     })
130   }
131   GC_ENCRYPT(c, p, qpk, sz);
132   IF_TRACING(T_KEYSET, {
133     trace_block(T_CRYPTO, "crypto: encrypted packet", qpk, sz);
134   })
135
136   /* --- Now compute the MAC --- */
137
138   if (tagsz) {
139     h = GM_INIT(ks->mout);
140     GH_HASH(h, t, sizeof(t));
141     GH_HASH(h, qseq, SEQSZ + ivsz + sz);
142     memcpy(qmac, GH_DONE(h, 0), tagsz);
143     GH_DESTROY(h);
144     IF_TRACING(T_KEYSET, {
145       trace_block(T_CRYPTO, "crypto: computed MAC", qmac, tagsz);
146     })
147   }
148
149   /* --- Deduct the packet size from the key's data life --- */
150
151   osz = ks->sz_exp;
152   if (osz > sz)
153     nsz = osz - sz;
154   else
155     nsz = 0;
156   if (osz >= SZ_REGEN && nsz < SZ_REGEN) {
157     T( trace(T_KEYSET, "keyset: keyset %u data regen limit exceeded -- "
158              "forcing exchange", ks->seq); )
159     rc = -1;
160   }
161   ks->sz_exp = nsz;
162   return (rc);  
163 }
164
165 /* --- @dodecrypt@ --- *
166  *
167  * Arguments:   @keyset *ks@ = pointer to keyset to use
168  *              @unsigned ty@ = expected type code
169  *              @buf *b@ = pointer to an input buffer
170  *              @buf *bb@ = pointer to an output buffer
171  *              @uint32 *seq@ = where to store the sequence number
172  *
173  * Returns:     Zero if OK, nonzero if it failed.
174  *
175  * Use:         Attempts to decrypt a message with the given key.  No other
176  *              checking (e.g., sequence number checks) is performed.  We
177  *              assume that the keyset is OK to use, and that there is
178  *              sufficient output buffer space reserved.  If the decryption
179  *              is successful, the buffer pointer is moved past the decrypted
180  *              packet, and the packet's sequence number is stored in @*seq@.
181  */
182
183 static int dodecrypt(keyset *ks, unsigned ty, buf *b, buf *bb, uint32 *seq)
184 {
185   const octet *pmac, *piv, *pseq, *ppk;
186   size_t psz = BLEFT(b);
187   size_t sz;
188   octet *q = BCUR(bb);
189   ghash *h;
190   gcipher *c = ks->cin;
191   size_t ivsz = GC_CLASS(c)->blksz;
192   size_t tagsz = ks->tagsz;
193   octet *mac;
194   int eq;
195   octet t[4];
196
197   /* --- Break up the packet into its components --- */
198
199   if (psz < ivsz + SEQSZ + tagsz) {
200     T( trace(T_KEYSET, "keyset: block too small for keyset %u", ks->seq); )
201     return (-1);
202   }
203   sz = psz - ivsz - SEQSZ - tagsz;
204   pmac = BCUR(b); pseq = pmac + tagsz; piv = pseq + SEQSZ; ppk = piv + ivsz;
205   STORE32(t, ty);
206
207   IF_TRACING(T_KEYSET, {
208     trace(T_KEYSET, "keyset: decrypting using keyset %u", ks->seq);
209     trace_block(T_CRYPTO, "crypto: ciphertext packet", ppk, sz);
210   })
211
212   /* --- Verify the MAC on the packet --- */
213
214   if (tagsz) {
215     h = GM_INIT(ks->min);
216     GH_HASH(h, t, sizeof(t));
217     GH_HASH(h, pseq, SEQSZ + ivsz + sz);
218     mac = GH_DONE(h, 0);
219     eq = !memcmp(mac, pmac, tagsz);
220     IF_TRACING(T_KEYSET, {
221       trace_block(T_CRYPTO, "crypto: computed MAC", mac, tagsz);
222     })
223     GH_DESTROY(h);
224     if (!eq) {
225       IF_TRACING(T_KEYSET, {
226         trace(T_KEYSET, "keyset: incorrect MAC: decryption failed");
227         trace_block(T_CRYPTO, "crypto: expected MAC", pmac, tagsz);
228       })
229       return (-1);
230     }
231   }
232
233   /* --- Decrypt the packet --- */
234
235   if (ivsz) {
236     GC_SETIV(c, piv);
237     IF_TRACING(T_KEYSET, {
238       trace_block(T_CRYPTO, "crypto: initialization vector", piv, ivsz);
239     })
240   }
241   GC_DECRYPT(c, ppk, q, sz);
242   if (seq)
243     *seq = LOAD32(pseq);
244   IF_TRACING(T_KEYSET, {
245     trace(T_KEYSET, "keyset: decrypted OK (sequence = %lu)",
246           (unsigned long)LOAD32(pseq));
247     trace_block(T_CRYPTO, "crypto: decrypted packet", q, sz);
248   })
249   BSTEP(bb, sz);
250   return (0);
251 }
252
253 /*----- Operations on a single keyset -------------------------------------*/
254
255 /* --- @ks_drop@ --- *
256  *
257  * Arguments:   @keyset *ks@ = pointer to a keyset
258  *
259  * Returns:     ---
260  *
261  * Use:         Decrements a keyset's reference counter.  If the counter hits
262  *              zero, the keyset is freed.
263  */
264
265 void ks_drop(keyset *ks)
266 {
267   if (--ks->ref)
268     return;
269   GC_DESTROY(ks->cin);
270   GC_DESTROY(ks->cout);
271   GM_DESTROY(ks->min);
272   GM_DESTROY(ks->mout);
273   DESTROY(ks);
274 }
275
276 /* --- @ks_gen@ --- *
277  *
278  * Arguments:   @const void *k@ = pointer to key material
279  *              @size_t x, y, z@ = offsets into key material (see below)
280  *              @peer *p@ = pointer to peer information 
281  *
282  * Returns:     A pointer to the new keyset.
283  *
284  * Use:         Derives a new keyset from the given key material.  The
285  *              offsets @x@, @y@ and @z@ separate the key material into three
286  *              parts.  Between the @k@ and @k + x@ is `my' contribution to
287  *              the key material; between @k + x@ and @k + y@ is `your'
288  *              contribution; and between @k + y@ and @k + z@ is a shared
289  *              value we made together.  These are used to construct two
290  *              pairs of symmetric keys.  Each pair consists of an encryption
291  *              key and a message authentication key.  One pair is used for
292  *              outgoing messages, the other for incoming messages.
293  *
294  *              The new key is marked so that it won't be selected for output
295  *              by @ksl_encrypt@.  You can still encrypt data with it by
296  *              calling @ks_encrypt@ directly.
297  */
298
299 keyset *ks_gen(const void *k, size_t x, size_t y, size_t z, peer *p)
300 {
301   ghash *h;
302   const octet *hh;
303   keyset *ks = CREATE(keyset);
304   time_t now = time(0);
305   const octet *pp = k;
306   T( static unsigned seq = 0; )
307
308   T( trace(T_KEYSET, "keyset: adding new keyset %u", seq); )
309
310   /* --- Construct the various keys --- *
311    *
312    * This is done with macros, because it's quite tedious.
313    */
314
315 #define MINE GH_HASH(h, pp, x)
316 #define YOURS GH_HASH(h, pp + x, y - x)
317 #define OURS GH_HASH(h, pp + y, z - y)
318
319 #define HASH_in MINE; YOURS; OURS
320 #define HASH_out YOURS; MINE; OURS
321 #define INIT_c(k) GC_INIT(algs.c, (k), algs.cksz)
322 #define INIT_m(k) GM_KEY(algs.m, (k), algs.mksz)
323 #define STR_c "encryption"
324 #define STR_m "integrity"
325 #define STR_in "incoming"
326 #define STR_out "outgoing"
327
328 #define SETKEY(a, dir) do {                                             \
329   h = GH_INIT(algs.h);                                                  \
330   HASH_STRING(h, "tripe-" STR_##a);                                     \
331   HASH_##dir;                                                           \
332   hh = GH_DONE(h, 0);                                                   \
333   IF_TRACING(T_KEYSET, {                                                \
334     trace_block(T_CRYPTO, "crypto: " STR_##dir " key " STR_##a,         \
335                 hh, algs.a##ksz);                                       \
336   })                                                                    \
337   ks->a##dir = INIT_##a(hh);                                            \
338   GH_DESTROY(h);                                                        \
339 } while (0)
340
341   SETKEY(c, in); SETKEY(c, out);
342   SETKEY(m, in); SETKEY(m, out);
343
344 #undef MINE
345 #undef YOURS
346 #undef OURS
347 #undef STR_c
348 #undef STR_m
349 #undef STR_in
350 #undef STR_out
351 #undef INIT_c
352 #undef INIT_m
353 #undef HASH_in
354 #undef HASH_out
355 #undef SETKEY
356
357   T( ks->seq = seq++; )
358   ks->ref = 1;
359   ks->t_exp = now + T_EXP;
360   ks->sz_exp = SZ_EXP;
361   ks->oseq = 0;
362   seq_reset(&ks->iseq);
363   ks->next = 0;
364   ks->p = p;
365   ks->f = KSF_LISTEN;
366   ks->tagsz = algs.tagsz;
367   return (ks);
368 }
369
370 /* --- @ks_tregen@ --- *
371  *
372  * Arguments:   @keyset *ks@ = pointer to a keyset
373  *
374  * Returns:     The time at which moves ought to be made to replace this key.
375  */
376
377 time_t ks_tregen(keyset *ks) { return (ks->t_exp - T_EXP + T_REGEN); }
378
379 /* --- @ks_activate@ --- *
380  *
381  * Arguments:   @keyset *ks@ = pointer to a keyset
382  *
383  * Returns:     ---
384  *
385  * Use:         Activates a keyset, so that it can be used for encrypting
386  *              outgoing messages.
387  */
388
389 void ks_activate(keyset *ks)
390 {
391   if (ks->f & KSF_LISTEN) {
392     T( trace(T_KEYSET, "keyset: activating keyset %u", ks->seq); )
393     ks->f &= ~KSF_LISTEN;
394   }
395 }
396
397 /* --- @ks_encrypt@ --- *
398  *
399  * Arguments:   @keyset *ks@ = pointer to a keyset
400  *              @unsigned ty@ = message type
401  *              @buf *b@ = pointer to input buffer
402  *              @buf *bb@ = pointer to output buffer
403  *
404  * Returns:     Zero if OK, nonzero if the key needs replacing.  If the
405  *              encryption failed, the output buffer is broken and zero is
406  *              returned.
407  *
408  * Use:         Encrypts a block of data using the key.  Note that the `key
409  *              ought to be replaced' notification is only ever given once
410  *              for each key.  Also note that this call forces a keyset to be
411  *              used even if it's marked as not for data output.
412  */
413
414 int ks_encrypt(keyset *ks, unsigned ty, buf *b, buf *bb)
415 {
416   time_t now = time(0);
417
418   if (!KEYOK(ks, now)) {
419     buf_break(bb);
420     return (0);
421   }
422   return (doencrypt(ks, ty, b, bb));
423 }
424
425 /* --- @ks_decrypt@ --- *
426  *
427  * Arguments:   @keyset *ks@ = pointer to a keyset
428  *              @unsigned ty@ = expected type code
429  *              @buf *b@ = pointer to an input buffer
430  *              @buf *bb@ = pointer to an output buffer
431  *
432  * Returns:     Zero on success, or nonzero if there was some problem.
433  *
434  * Use:         Attempts to decrypt a message using a given key.  Note that
435  *              requesting decryption with a key directly won't clear a
436  *              marking that it's not for encryption.
437  */
438
439 int ks_decrypt(keyset *ks, unsigned ty, buf *b, buf *bb)
440 {
441   time_t now = time(0);
442   uint32 seq;
443
444   if (!KEYOK(ks, now) ||
445       buf_ensure(bb, BLEN(b)) ||
446       dodecrypt(ks, ty, b, bb, &seq) ||
447       seq_check(&ks->iseq, seq, "SYMM"))
448     return (-1);
449   return (0);
450 }
451
452 /*----- Keyset list handling ----------------------------------------------*/
453
454 /* --- @ksl_free@ --- *
455  *
456  * Arguments:   @keyset **ksroot@ = pointer to keyset list head
457  *
458  * Returns:     ---
459  *
460  * Use:         Frees (releases references to) all of the keys in a keyset.
461  */
462
463 void ksl_free(keyset **ksroot)
464 {
465   keyset *ks, *ksn;
466   for (ks = *ksroot; ks; ks = ksn) {
467     ksn = ks->next;
468     ks->f &= ~KSF_LINK;
469     ks_drop(ks);
470   }
471 }
472
473 /* --- @ksl_link@ --- *
474  *
475  * Arguments:   @keyset **ksroot@ = pointer to keyset list head
476  *              @keyset *ks@ = pointer to a keyset
477  *
478  * Returns:     ---
479  *
480  * Use:         Links a keyset into a list.  A keyset can only be on one list
481  *              at a time.  Bad things happen otherwise.
482  */
483
484 void ksl_link(keyset **ksroot, keyset *ks)
485 {
486   assert(!(ks->f & KSF_LINK));
487   ks->next = *ksroot;
488   *ksroot = ks;
489   ks->f |= KSF_LINK;
490   ks->ref++;
491 }
492
493 /* --- @ksl_prune@ --- *
494  *
495  * Arguments:   @keyset **ksroot@ = pointer to keyset list head
496  *
497  * Returns:     ---
498  *
499  * Use:         Prunes the keyset list by removing keys which mustn't be used
500  *              any more.
501  */
502
503 void ksl_prune(keyset **ksroot)
504 {
505   time_t now = time(0);
506
507   while (*ksroot) {
508     keyset *ks = *ksroot;
509
510     if (ks->t_exp <= now) {
511       T( trace(T_KEYSET, "keyset: expiring keyset %u (time limit reached)",
512                ks->seq); )
513       goto kill;
514     } else if (ks->sz_exp == 0) {
515       T( trace(T_KEYSET, "keyset: expiring keyset %u (data limit reached)",
516                ks->seq); )
517       goto kill;
518     } else {
519       ksroot = &ks->next;
520       continue;
521     }
522
523   kill:
524     *ksroot = ks->next;
525     ks->f &= ~KSF_LINK;
526     ks_drop(ks);
527   }
528 }
529
530 /* --- @ksl_encrypt@ --- *
531  *
532  * Arguments:   @keyset **ksroot@ = pointer to keyset list head
533  *              @unsigned ty@ = message type
534  *              @buf *b@ = pointer to input buffer
535  *              @buf *bb@ = pointer to output buffer
536  *
537  * Returns:     Nonzero if a new key is needed.
538  *
539  * Use:         Encrypts a packet.
540  */
541
542 int ksl_encrypt(keyset **ksroot, unsigned ty, buf *b, buf *bb)
543 {
544   time_t now = time(0);
545   keyset *ks = *ksroot;
546
547   for (;;) {
548     if (!ks) {
549       T( trace(T_KEYSET, "keyset: no suitable keysets found"); )
550       buf_break(bb);
551       return (-1);
552     }
553     if (KEYOK(ks, now) && !(ks->f & KSF_LISTEN))
554       break;
555     ks = ks->next;
556   }
557
558   return (doencrypt(ks, ty, b, bb));
559 }
560
561 /* --- @ksl_decrypt@ --- *
562  *
563  * Arguments:   @keyset **ksroot@ = pointer to keyset list head
564  *              @unsigned ty@ = expected type code
565  *              @buf *b@ = pointer to input buffer
566  *              @buf *bb@ = pointer to output buffer
567  *
568  * Returns:     Nonzero if the packet couldn't be decrypted.
569  *
570  * Use:         Decrypts a packet.
571  */
572
573 int ksl_decrypt(keyset **ksroot, unsigned ty, buf *b, buf *bb)
574 {
575   time_t now = time(0);
576   keyset *ks;
577   uint32 seq;
578
579   if (buf_ensure(bb, BLEN(b)))
580     return (-1);
581
582   for (ks = *ksroot; ks; ks = ks->next) {
583     if (!KEYOK(ks, now))
584       continue;
585     if (!dodecrypt(ks, ty, b, bb, &seq)) {
586       if (ks->f & KSF_LISTEN) {
587         T( trace(T_KEYSET, "keyset: implicitly activating keyset %u",
588                  ks->seq); )
589         ks->f &= ~KSF_LISTEN;
590       }
591       return (seq_check(&ks->iseq, seq, "SYMM"));
592     }
593   }
594   T( trace(T_KEYSET, "keyset: no matching keys, or incorrect MAC"); )
595   return (-1);
596 }
597
598 /*----- That's all, folks -------------------------------------------------*/
Trivial IP Encryption: a simple VPN