crypt.c

   1 /*
   2  * Copyright (C) 2005-2013 Andre Noll <maan@systemlinux.org>
   3  *
   4  * Licensed under the GPL v2. For licencing details see COPYING.
   5  */
   6
   7 /** \file crypt.c Openssl-based encryption/decryption routines. */
   8
   9 #include <regex.h>
  10 #include <sys/types.h>
  11 #include <sys/socket.h>
  12 #include <openssl/rand.h>
  13 #include <openssl/err.h>
  14 #include <openssl/rc4.h>
  15 #include <openssl/pem.h>
  16 #include <openssl/sha.h>
  17 #include <openssl/bn.h>
  18
  19 #include "para.h"
  20 #include "error.h"
  21 #include "string.h"
  22 #include "crypt.h"
  23 #include "fd.h"
  24 #include "crypt_backend.h"
  25
  26 struct asymmetric_key {
  27         RSA *rsa;
  28 };
  29
  30 void get_random_bytes_or_die(unsigned char *buf, int num)
  31 {
  32         unsigned long err;
  33
  34         /* RAND_bytes() returns 1 on success, 0 otherwise. */
  35         if (RAND_bytes(buf, num) == 1)
  36                 return;
  37         err = ERR_get_error();
  38         PARA_EMERG_LOG("%s\n", ERR_reason_error_string(err));
  39         exit(EXIT_FAILURE);
  40 }
  41
  42 /*
  43  * Read 64 bytes from /dev/urandom and adds them to the SSL PRNG. Seed the PRNG
  44  * used by random() with a random seed obtained from SSL. If /dev/random is not
  45  * readable the function calls exit().
  46  *
  47  * \sa RAND_load_file(3), \ref get_random_bytes_or_die(), srandom(3),
  48  * random(3), \ref para_random().
  49  */
  50 void init_random_seed_or_die(void)
  51 {
  52         int seed, ret = RAND_load_file("/dev/urandom", 64);
  53
  54         if (ret != 64) {
  55                 PARA_EMERG_LOG("could not seed PRNG (ret = %d)\n", ret);
  56                 exit(EXIT_FAILURE);
  57         }
  58         get_random_bytes_or_die((unsigned char *)&seed, sizeof(seed));
  59         srandom(seed);
  60 }
  61
  62 static EVP_PKEY *load_key(const char *file, int private)
  63 {
  64         BIO *key;
  65         EVP_PKEY *pkey = NULL;
  66         int ret = check_key_file(file, private);
  67
  68         if (ret < 0) {
  69                 PARA_ERROR_LOG("%s\n", para_strerror(-ret));
  70                 return NULL;
  71         }
  72         key = BIO_new(BIO_s_file());
  73         if (!key)
  74                 return NULL;
  75         if (BIO_read_filename(key, file) > 0) {
  76                 if (private == LOAD_PRIVATE_KEY)
  77                         pkey = PEM_read_bio_PrivateKey(key, NULL, NULL, NULL);
  78                 else
  79                         pkey = PEM_read_bio_PUBKEY(key, NULL, NULL, NULL);
  80         }
  81         BIO_free(key);
  82         return pkey;
  83 }
  84
  85 static int get_openssl_key(const char *key_file, RSA **rsa, int private)
  86 {
  87         EVP_PKEY *key = load_key(key_file, private);
  88
  89         if (!key)
  90                 return (private == LOAD_PRIVATE_KEY)? -E_PRIVATE_KEY
  91                         : -E_PUBLIC_KEY;
  92         *rsa = EVP_PKEY_get1_RSA(key);
  93         EVP_PKEY_free(key);
  94         if (!*rsa)
  95                 return -E_RSA;
  96         return RSA_size(*rsa);
  97 }
  98
  99 /*
 100  * The public key loading functions below were inspired by corresponding code
 101  * of openssh-5.2p1, Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo,
 102  * Finland. However, not much of the original code remains.
 103  */
 104
 105 static int read_bignum(const unsigned char *buf, size_t len, BIGNUM **result)
 106 {
 107         const unsigned char *p = buf, *end = buf + len;
 108         uint32_t bnsize;
 109         BIGNUM *bn;
 110
 111         if (p + 4 < p)
 112                 return -E_BIGNUM;
 113         if (p + 4 > end)
 114                 return -E_BIGNUM;
 115         bnsize = read_ssh_u32(p);
 116         PARA_DEBUG_LOG("bnsize: %u\n", bnsize);
 117         p += 4;
 118         if (p + bnsize < p)
 119                 return -E_BIGNUM;
 120         if (p + bnsize > end)
 121                 return -E_BIGNUM;
 122         if (bnsize > 8192)
 123                 return -E_BIGNUM;
 124         bn = BN_bin2bn(p, bnsize, NULL);
 125         if (!bn)
 126                 return -E_BIGNUM;
 127         *result = bn;
 128         return bnsize + 4;
 129 }
 130
 131 static int read_rsa_bignums(const unsigned char *blob, int blen, RSA **result)
 132 {
 133         int ret;
 134         RSA *rsa;
 135         const unsigned char *p = blob, *end = blob + blen;
 136
 137         rsa = RSA_new();
 138         if (!rsa)
 139                 return -E_BIGNUM;
 140         ret = read_bignum(p, end - p, &rsa->e);
 141         if (ret < 0)
 142                 goto fail;
 143         p += ret;
 144         ret = read_bignum(p, end - p, &rsa->n);
 145         if (ret < 0)
 146                 goto fail;
 147         *result = rsa;
 148         return 1;
 149 fail:
 150         if (rsa)
 151                 RSA_free(rsa);
 152         return ret;
 153 }
 154
 155 int get_asymmetric_key(const char *key_file, int private,
 156                 struct asymmetric_key **result)
 157 {
 158         struct asymmetric_key *key = NULL;
 159         void *map = NULL;
 160         unsigned char *blob = NULL;
 161         size_t map_size, blob_size, decoded_size;
 162         int ret, ret2;
 163         char *cp;
 164
 165         key = para_malloc(sizeof(*key));
 166         if (private) {
 167                 ret = get_openssl_key(key_file, &key->rsa, LOAD_PRIVATE_KEY);
 168                 goto out;
 169         }
 170         ret = mmap_full_file(key_file, O_RDONLY, &map, &map_size, NULL);
 171         if (ret < 0)
 172                 goto out;
 173         ret = is_ssh_rsa_key(map, map_size);
 174         if (!ret) {
 175                 ret = para_munmap(map, map_size);
 176                 map = NULL;
 177                 if (ret < 0)
 178                         goto out;
 179                 ret = get_openssl_key(key_file, &key->rsa, LOAD_PUBLIC_KEY);
 180                 goto out;
 181         }
 182         cp = map + ret;
 183         PARA_INFO_LOG("decoding public rsa-ssh key %s\n", key_file);
 184         ret = -ERRNO_TO_PARA_ERROR(EOVERFLOW);
 185         if (map_size > INT_MAX / 4)
 186                 goto out_unmap;
 187         blob_size = 2 * map_size;
 188         blob = para_malloc(blob_size);
 189         ret = uudecode(cp, blob, blob_size);
 190         if (ret < 0)
 191                 goto out_unmap;
 192         decoded_size = ret;
 193         ret = check_ssh_key_header(blob, decoded_size);
 194         if (ret < 0)
 195                 goto out_unmap;
 196         ret = read_rsa_bignums(blob + ret, decoded_size - ret, &key->rsa);
 197         if (ret < 0)
 198                 goto out_unmap;
 199         ret = RSA_size(key->rsa);
 200 out_unmap:
 201         ret2 = para_munmap(map, map_size);
 202         if (ret >= 0 && ret2 < 0)
 203                 ret = ret2;
 204 out:
 205         if (ret < 0) {
 206                 free(key);
 207                 *result = NULL;
 208                 PARA_ERROR_LOG("key %s: %s\n", key_file, para_strerror(-ret));
 209         } else
 210                 *result = key;
 211         free(blob);
 212         return ret;
 213 }
 214
 215 void free_asymmetric_key(struct asymmetric_key *key)
 216 {
 217         if (!key)
 218                 return;
 219         RSA_free(key->rsa);
 220         free(key);
 221 }
 222
 223 int priv_decrypt(const char *key_file, unsigned char *outbuf,
 224                 unsigned char *inbuf, int inlen)
 225 {
 226         struct asymmetric_key *priv;
 227         int ret;
 228
 229         if (inlen < 0)
 230                 return -E_RSA;
 231         ret = get_asymmetric_key(key_file, LOAD_PRIVATE_KEY, &priv);
 232         if (ret < 0)
 233                 return ret;
 234         /*
 235          * RSA is vulnerable to timing attacks. Generate a random blinding
 236          * factor to protect against this kind of attack.
 237          */
 238         ret = -E_BLINDING;
 239         if (RSA_blinding_on(priv->rsa, NULL) == 0)
 240                 goto out;
 241         ret = RSA_private_decrypt(inlen, inbuf, outbuf, priv->rsa,
 242                 RSA_PKCS1_OAEP_PADDING);
 243         RSA_blinding_off(priv->rsa);
 244         if (ret <= 0)
 245                 ret = -E_DECRYPT;
 246 out:
 247         free_asymmetric_key(priv);
 248         return ret;
 249 }
 250
 251 int pub_encrypt(struct asymmetric_key *pub, unsigned char *inbuf,
 252                 unsigned len, unsigned char *outbuf)
 253 {
 254         int ret, flen = len; /* RSA_public_encrypt expects a signed int */
 255
 256         if (flen < 0)
 257                 return -E_ENCRYPT;
 258         ret = RSA_public_encrypt(flen, inbuf, outbuf, pub->rsa,
 259                 RSA_PKCS1_OAEP_PADDING);
 260         return ret < 0? -E_ENCRYPT : ret;
 261 }
 262
 263 struct stream_cipher {
 264         RC4_KEY key;
 265 };
 266
 267 struct stream_cipher *sc_new(const unsigned char *data, int len)
 268 {
 269         struct stream_cipher *sc = para_malloc(sizeof(*sc));
 270         RC4_set_key(&sc->key, len, data);
 271         return sc;
 272 }
 273
 274 void sc_free(struct stream_cipher *sc)
 275 {
 276         free(sc);
 277 }
 278
 279 /**
 280  * The RC4() implementation of openssl apparently reads and writes data in
 281  * blocks of 8 bytes. So we have to make sure our buffer sizes are a multiple
 282  * of this.
 283  */
 284 #define RC4_ALIGN 8
 285
 286 int sc_send_bin_buffer(struct stream_cipher_context *scc, char *buf,
 287                 size_t len)
 288 {
 289         int ret;
 290         unsigned char *tmp;
 291         static unsigned char remainder[RC4_ALIGN];
 292         size_t l1 = ROUND_DOWN(len, RC4_ALIGN), l2 = ROUND_UP(len, RC4_ALIGN);
 293
 294         assert(len);
 295         tmp = para_malloc(l2);
 296         RC4(&scc->send->key, l1, (const unsigned char *)buf, tmp);
 297         if (len > l1) {
 298                 memcpy(remainder, buf + l1, len - l1);
 299                 RC4(&scc->send->key, len - l1, remainder, tmp + l1);
 300         }
 301         ret = xwrite(scc->fd, (char *)tmp, len);
 302         free(tmp);
 303         return ret;
 304 }
 305
 306 int sc_recv_bin_buffer(struct stream_cipher_context *scc, char *buf,
 307                 size_t size)
 308 {
 309         unsigned char *tmp = para_malloc(ROUND_UP(size, RC4_ALIGN));
 310         ssize_t ret = recv(scc->fd, tmp, size, 0);
 311
 312         if (ret > 0)
 313                 RC4(&scc->recv->key, ret, tmp, (unsigned char *)buf);
 314         else if (ret < 0)
 315                 ret = -ERRNO_TO_PARA_ERROR(errno);
 316         free(tmp);
 317         return ret;
 318 }
 319
 320 void sc_crypt(struct stream_cipher *sc, struct iovec *src, struct iovec *dst)
 321 {
 322         size_t len = src->iov_len, l1, l2;
 323         RC4_KEY *key = &sc->key;
 324
 325         assert(len > 0);
 326         assert(len < ((typeof(src->iov_len))-1) / 2);
 327         l1 = ROUND_DOWN(len, RC4_ALIGN);
 328         l2 = ROUND_UP(len, RC4_ALIGN);
 329
 330         *dst = (typeof(*dst)) {
 331                 /* Add one for the terminating zero byte. */
 332                 .iov_base = para_malloc(l2 + 1),
 333                 .iov_len = len
 334         };
 335         RC4(key, l1, src->iov_base, dst->iov_base);
 336         if (len > l1) {
 337                 unsigned char remainder[RC4_ALIGN] = "";
 338                 memcpy(remainder, src->iov_base + l1, len - l1);
 339                 RC4(key, len - l1, remainder, dst->iov_base + l1);
 340         }
 341         ((char *)dst->iov_base)[len] = '\0';
 342 }
 343
 344 void hash_function(const char *data, unsigned long len, unsigned char *hash)
 345 {
 346         SHA_CTX c;
 347         SHA1_Init(&c);
 348         SHA1_Update(&c, data, len);
 349         SHA1_Final(hash, &c);
 350 }