← Back to branch summary

~ubuntu-branches/ubuntu/feisty/gnupg2/feisty

« back to all changes in this revision

Viewing changes to cipher/rsa.c

  • Committer: Bazaar Package Importer
  • Author(s): Jonathan Riddell
  • Date: 2006-07-11 11:38:13 UTC
  • mfrom: (1.1.3 upstream)
  • Revision ID: james.westby@ubuntu.com-20060711113813-zaw7unlbuh7gyxtl
Tags: 1.9.21-0ubuntu1
New upstream release

Show diffs side-by-side

added added

removed removed

Lines of Context:
cipher/rsa.c
1
 
/* rsa.c  -  RSA function
2
 
 *      Copyright (C) 1997, 1998, 1999 by Werner Koch (dd9jn)
3
 
 *      Copyright (C) 2000, 2001 Free Software Foundation, Inc.
4
 
 *
5
 
 * This file is part of GnuPG.
6
 
 *
7
 
 * GnuPG is free software; you can redistribute it and/or modify
8
 
 * it under the terms of the GNU General Public License as published by
9
 
 * the Free Software Foundation; either version 2 of the License, or
10
 
 * (at your option) any later version.
11
 
 *
12
 
 * GnuPG is distributed in the hope that it will be useful,
13
 
 * but WITHOUT ANY WARRANTY; without even the implied warranty of
14
 
 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
15
 
 * GNU General Public License for more details.
16
 
 *
17
 
 * You should have received a copy of the GNU General Public License
18
 
 * along with this program; if not, write to the Free Software
19
 
 * Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA
20
 
 */
21
 
 
22
 
/* This code uses an algorithm protected by U.S. Patent #4,405,829
23
 
   which expires on September 20, 2000.  The patent holder placed that
24
 
   patent into the public domain on Sep 6th, 2000.
25
 
*/
26
 
 
27
 
#include <config.h>
28
 
#include <stdio.h>
29
 
#include <stdlib.h>
30
 
#include <string.h>
31
 
#include "util.h"
32
 
#include "mpi.h"
33
 
#include "cipher.h"
34
 
#include "rsa.h"
35
 
 
36
 
 
37
 
typedef struct {
38
 
    MPI n;          /* modulus */
39
 
    MPI e;          /* exponent */
40
 
} RSA_public_key;
41
 
 
42
 
 
43
 
typedef struct {
44
 
    MPI n;          /* public modulus */
45
 
    MPI e;          /* public exponent */
46
 
    MPI d;          /* exponent */
47
 
    MPI p;          /* prime  p. */
48
 
    MPI q;          /* prime  q. */
49
 
    MPI u;          /* inverse of p mod q. */
50
 
} RSA_secret_key;
51
 
 
52
 
 
53
 
static void test_keys( RSA_secret_key *sk, unsigned nbits );
54
 
static void generate( RSA_secret_key *sk, unsigned nbits );
55
 
static int  check_secret_key( RSA_secret_key *sk );
56
 
static void public(MPI output, MPI input, RSA_public_key *skey );
57
 
static void secret(MPI output, MPI input, RSA_secret_key *skey );
58
 
 
59
 
 
60
 
static void
61
 
test_keys( RSA_secret_key *sk, unsigned nbits )
62
 
{
63
 
    RSA_public_key pk;
64
 
    MPI test = mpi_alloc( (nbits+BITS_PER_MPI_LIMB-1)/BITS_PER_MPI_LIMB );
65
 
    MPI out1 = mpi_alloc( (nbits+BITS_PER_MPI_LIMB-1)/BITS_PER_MPI_LIMB );
66
 
    MPI out2 = mpi_alloc( (nbits+BITS_PER_MPI_LIMB-1)/BITS_PER_MPI_LIMB );
67
 
 
68
 
    pk.n = sk->n;
69
 
    pk.e = sk->e;
70
 
    {   char *p = get_random_bits( nbits, 0, 0 );
71
 
        mpi_set_buffer( test, p, (nbits+7)/8, 0 );
72
 
        m_free(p);
73
 
    }
74
 
 
75
 
    public( out1, test, &pk );
76
 
    secret( out2, out1, sk );
77
 
    if( mpi_cmp( test, out2 ) )
78
 
        log_fatal("RSA operation: public, secret failed\n");
79
 
    secret( out1, test, sk );
80
 
    public( out2, out1, &pk );
81
 
    if( mpi_cmp( test, out2 ) )
82
 
        log_fatal("RSA operation: secret, public failed\n");
83
 
    mpi_free( test );
84
 
    mpi_free( out1 );
85
 
    mpi_free( out2 );
86
 
}
87
 
 
88
 
/****************
89
 
 * Generate a key pair with a key of size NBITS
90
 
 * Returns: 2 structures filled with all needed values
91
 
 */
92
 
static void
93
 
generate( RSA_secret_key *sk, unsigned nbits )
94
 
{
95
 
    MPI p, q; /* the two primes */
96
 
    MPI d;    /* the private key */
97
 
    MPI u;
98
 
    MPI t1, t2;
99
 
    MPI n;    /* the public key */
100
 
    MPI e;    /* the exponent */
101
 
    MPI phi;  /* helper: (p-1)(q-1) */
102
 
    MPI g;
103
 
    MPI f;
104
 
 
105
 
    /* make sure that nbits is even so that we generate p, q of equal size */
106
 
    if ( (nbits&1) )
107
 
      nbits++; 
108
 
 
109
 
    n = mpi_alloc( (nbits+BITS_PER_MPI_LIMB-1)/BITS_PER_MPI_LIMB );
110
 
 
111
 
    p = q = NULL;
112
 
    do {
113
 
      /* select two (very secret) primes */
114
 
      if (p)
115
 
        mpi_free (p);
116
 
      if (q)
117
 
        mpi_free (q);
118
 
      p = generate_secret_prime( nbits / 2 );
119
 
      q = generate_secret_prime( nbits / 2 );
120
 
      if( mpi_cmp( p, q ) > 0 ) /* p shall be smaller than q (for calc of u)*/
121
 
        mpi_swap(p,q);
122
 
      /* calculate the modulus */
123
 
      mpi_mul( n, p, q );
124
 
    } while ( mpi_get_nbits(n) != nbits );
125
 
 
126
 
    /* calculate Euler totient: phi = (p-1)(q-1) */
127
 
    t1 = mpi_alloc_secure( mpi_get_nlimbs(p) );
128
 
    t2 = mpi_alloc_secure( mpi_get_nlimbs(p) );
129
 
    phi = mpi_alloc_secure( (nbits+BITS_PER_MPI_LIMB-1)/BITS_PER_MPI_LIMB );
130
 
    g   = mpi_alloc_secure( (nbits+BITS_PER_MPI_LIMB-1)/BITS_PER_MPI_LIMB  );
131
 
    f   = mpi_alloc_secure( (nbits+BITS_PER_MPI_LIMB-1)/BITS_PER_MPI_LIMB  );
132
 
    mpi_sub_ui( t1, p, 1 );
133
 
    mpi_sub_ui( t2, q, 1 );
134
 
    mpi_mul( phi, t1, t2 );
135
 
    mpi_gcd(g, t1, t2);
136
 
    mpi_fdiv_q(f, phi, g);
137
 
 
138
 
    /* find an public exponent.
139
 
       We use 41 as this is quite fast and more secure than the
140
 
       commonly used 17.  Benchmarking the RSA verify function
141
 
       with a 1024 bit key yields (2001-11-08): 
142
 
         e=17    0.54 ms
143
 
         e=41    0.75 ms
144
 
         e=257   0.95 ms
145
 
         e=65537 1.80 ms
146
 
     */
147
 
    e = mpi_alloc( (32+BITS_PER_MPI_LIMB-1)/BITS_PER_MPI_LIMB );
148
 
    mpi_set_ui( e, 41); 
149
 
    if( !mpi_gcd(t1, e, phi) ) {
150
 
      mpi_set_ui( e, 257); 
151
 
      if( !mpi_gcd(t1, e, phi) ) {
152
 
        mpi_set_ui( e, 65537); 
153
 
        while( !mpi_gcd(t1, e, phi) ) /* (while gcd is not 1) */
154
 
          mpi_add_ui( e, e, 2);
155
 
      }
156
 
    }
157
 
 
158
 
    /* calculate the secret key d = e^1 mod phi */
159
 
    d = mpi_alloc( (nbits+BITS_PER_MPI_LIMB-1)/BITS_PER_MPI_LIMB );
160
 
    mpi_invm(d, e, f );
161
 
    /* calculate the inverse of p and q (used for chinese remainder theorem)*/
162
 
    u = mpi_alloc( (nbits+BITS_PER_MPI_LIMB-1)/BITS_PER_MPI_LIMB );
163
 
    mpi_invm(u, p, q );
164
 
 
165
 
    if( DBG_CIPHER ) {
166
 
        log_mpidump("  p= ", p );
167
 
        log_mpidump("  q= ", q );
168
 
        log_mpidump("phi= ", phi );
169
 
        log_mpidump("  g= ", g );
170
 
        log_mpidump("  f= ", f );
171
 
        log_mpidump("  n= ", n );
172
 
        log_mpidump("  e= ", e );
173
 
        log_mpidump("  d= ", d );
174
 
        log_mpidump("  u= ", u );
175
 
    }
176
 
 
177
 
    mpi_free(t1);
178
 
    mpi_free(t2);
179
 
    mpi_free(phi);
180
 
    mpi_free(f);
181
 
    mpi_free(g);
182
 
 
183
 
    sk->n = n;
184
 
    sk->e = e;
185
 
    sk->p = p;
186
 
    sk->q = q;
187
 
    sk->d = d;
188
 
    sk->u = u;
189
 
 
190
 
    /* now we can test our keys (this should never fail!) */
191
 
    test_keys( sk, nbits - 64 );
192
 
}
193
 
 
194
 
 
195
 
/****************
196
 
 * Test wether the secret key is valid.
197
 
 * Returns: true if this is a valid key.
198
 
 */
199
 
static int
200
 
check_secret_key( RSA_secret_key *sk )
201
 
{
202
 
    int rc;
203
 
    MPI temp = mpi_alloc( mpi_get_nlimbs(sk->p)*2 );
204
 
 
205
 
    mpi_mul(temp, sk->p, sk->q );
206
 
    rc = mpi_cmp( temp, sk->n );
207
 
    mpi_free(temp);
208
 
    return !rc;
209
 
}
210
 
 
211
 
 
212
 
 
213
 
/****************
214
 
 * Public key operation. Encrypt INPUT with PKEY and put result into OUTPUT.
215
 
 *
216
 
 *      c = m^e mod n
217
 
 *
218
 
 * Where c is OUTPUT, m is INPUT and e,n are elements of PKEY.
219
 
 */
220
 
static void
221
 
public(MPI output, MPI input, RSA_public_key *pkey )
222
 
{
223
 
    if( output == input ) { /* powm doesn't like output and input the same */
224
 
        MPI x = mpi_alloc( mpi_get_nlimbs(input)*2 );
225
 
        mpi_powm( x, input, pkey->e, pkey->n );
226
 
        mpi_set(output, x);
227
 
        mpi_free(x);
228
 
    }
229
 
    else
230
 
        mpi_powm( output, input, pkey->e, pkey->n );
231
 
}
232
 
 
233
 
#if 0
234
 
static void
235
 
stronger_key_check ( RSA_secret_key *skey )
236
 
{
237
 
    MPI t = mpi_alloc_secure ( 0 );
238
 
    MPI t1 = mpi_alloc_secure ( 0 );
239
 
    MPI t2 = mpi_alloc_secure ( 0 );
240
 
    MPI phi = mpi_alloc_secure ( 0 );
241
 
 
242
 
    /* check that n == p * q */
243
 
    mpi_mul( t, skey->p, skey->q);
244
 
    if (mpi_cmp( t, skey->n) )
245
 
        log_info ( "RSA Oops: n != p * q\n" );
246
 
 
247
 
    /* check that p is less than q */
248
 
    if( mpi_cmp( skey->p, skey->q ) > 0 )
249
 
        log_info ("RSA Oops: p >= q\n");
250
 
 
251
 
 
252
 
    /* check that e divides neither p-1 nor q-1 */
253
 
    mpi_sub_ui(t, skey->p, 1 );
254
 
    mpi_fdiv_r(t, t, skey->e );
255
 
    if ( !mpi_cmp_ui( t, 0) )
256
 
        log_info ( "RSA Oops: e divides p-1\n" );
257
 
    mpi_sub_ui(t, skey->q, 1 );
258
 
    mpi_fdiv_r(t, t, skey->e );
259
 
    if ( !mpi_cmp_ui( t, 0) )
260
 
        log_info ( "RSA Oops: e divides q-1\n" );
261
 
 
262
 
    /* check that d is correct */
263
 
    mpi_sub_ui( t1, skey->p, 1 );
264
 
    mpi_sub_ui( t2, skey->q, 1 );
265
 
    mpi_mul( phi, t1, t2 );
266
 
    mpi_gcd(t, t1, t2);
267
 
    mpi_fdiv_q(t, phi, t);
268
 
    mpi_invm(t, skey->e, t );
269
 
    if ( mpi_cmp(t, skey->d ) )
270
 
        log_info ( "RSA Oops: d is wrong\n");
271
 
 
272
 
    /* check for crrectness of u */
273
 
    mpi_invm(t, skey->p, skey->q );
274
 
    if ( mpi_cmp(t, skey->u ) )
275
 
        log_info ( "RSA Oops: u is wrong\n");
276
 
   
277
 
    log_info ( "RSA secret key check finished\n");
278
 
 
279
 
    mpi_free (t);
280
 
    mpi_free (t1);
281
 
    mpi_free (t2);
282
 
    mpi_free (phi);
283
 
}
284
 
#endif
285
 
 
286
 
 
287
 
/****************
288
 
 * Secret key operation. Encrypt INPUT with SKEY and put result into OUTPUT.
289
 
 *
290
 
 *      m = c^d mod n
291
 
 *
292
 
 * Or faster:
293
 
 *
294
 
 *      m1 = c ^ (d mod (p-1)) mod p 
295
 
 *      m2 = c ^ (d mod (q-1)) mod q 
296
 
 *      h = u * (m2 - m1) mod q 
297
 
 *      m = m1 + h * p
298
 
 *
299
 
 * Where m is OUTPUT, c is INPUT and d,n,p,q,u are elements of SKEY.
300
 
 */
301
 
static void
302
 
secret(MPI output, MPI input, RSA_secret_key *skey )
303
 
{
304
 
#if 0
305
 
    mpi_powm( output, input, skey->d, skey->n );
306
 
#else
307
 
    MPI m1   = mpi_alloc_secure( mpi_get_nlimbs(skey->n)+1 );
308
 
    MPI m2   = mpi_alloc_secure( mpi_get_nlimbs(skey->n)+1 );
309
 
    MPI h    = mpi_alloc_secure( mpi_get_nlimbs(skey->n)+1 );
310
 
 
311
 
    /* m1 = c ^ (d mod (p-1)) mod p */
312
 
    mpi_sub_ui( h, skey->p, 1  );
313
 
    mpi_fdiv_r( h, skey->d, h );   
314
 
    mpi_powm( m1, input, h, skey->p );
315
 
    /* m2 = c ^ (d mod (q-1)) mod q */
316
 
    mpi_sub_ui( h, skey->q, 1  );
317
 
    mpi_fdiv_r( h, skey->d, h );
318
 
    mpi_powm( m2, input, h, skey->q );
319
 
    /* h = u * ( m2 - m1 ) mod q */
320
 
    mpi_sub( h, m2, m1 );
321
 
    if ( mpi_is_neg( h ) ) 
322
 
        mpi_add ( h, h, skey->q );
323
 
    mpi_mulm( h, skey->u, h, skey->q ); 
324
 
    /* m = m2 + h * p */
325
 
    mpi_mul ( h, h, skey->p );
326
 
    mpi_add ( output, m1, h );
327
 
    /* ready */
328
 
    
329
 
    mpi_free ( h );
330
 
    mpi_free ( m1 );
331
 
    mpi_free ( m2 );
332
 
#endif
333
 
}
334
 
 
335
 
 
336
 
/*********************************************
337
 
 **************  interface  ******************
338
 
 *********************************************/
339
 
 
340
 
int
341
 
rsa_generate( int algo, unsigned nbits, MPI *skey, MPI **retfactors )
342
 
{
343
 
    RSA_secret_key sk;
344
 
 
345
 
    if( !is_RSA(algo) )
346
 
        return G10ERR_PUBKEY_ALGO;
347
 
 
348
 
    generate( &sk, nbits );
349
 
    skey[0] = sk.n;
350
 
    skey[1] = sk.e;
351
 
    skey[2] = sk.d;
352
 
    skey[3] = sk.p;
353
 
    skey[4] = sk.q;
354
 
    skey[5] = sk.u;
355
 
    /* make an empty list of factors */
356
 
    if (retfactors)
357
 
      *retfactors = m_alloc_clear( 1 * sizeof **retfactors );
358
 
    return 0;
359
 
}
360
 
 
361
 
 
362
 
int
363
 
rsa_check_secret_key( int algo, MPI *skey )
364
 
{
365
 
    RSA_secret_key sk;
366
 
 
367
 
    if( !is_RSA(algo) )
368
 
        return G10ERR_PUBKEY_ALGO;
369
 
 
370
 
    sk.n = skey[0];
371
 
    sk.e = skey[1];
372
 
    sk.d = skey[2];
373
 
    sk.p = skey[3];
374
 
    sk.q = skey[4];
375
 
    sk.u = skey[5];
376
 
    if( !check_secret_key( &sk ) )
377
 
        return G10ERR_BAD_SECKEY;
378
 
 
379
 
    return 0;
380
 
}
381
 
 
382
 
 
383
 
 
384
 
int
385
 
rsa_encrypt( int algo, MPI *resarr, MPI data, MPI *pkey )
386
 
{
387
 
    RSA_public_key pk;
388
 
 
389
 
    if( algo != 1 && algo != 2 )
390
 
        return G10ERR_PUBKEY_ALGO;
391
 
 
392
 
    pk.n = pkey[0];
393
 
    pk.e = pkey[1];
394
 
    resarr[0] = mpi_alloc( mpi_get_nlimbs( pk.n ) );
395
 
    public( resarr[0], data, &pk );
396
 
    return 0;
397
 
}
398
 
 
399
 
int
400
 
rsa_decrypt( int algo, MPI *result, MPI *data, MPI *skey )
401
 
{
402
 
    RSA_secret_key sk;
403
 
 
404
 
    if( algo != 1 && algo != 2 )
405
 
        return G10ERR_PUBKEY_ALGO;
406
 
 
407
 
    sk.n = skey[0];
408
 
    sk.e = skey[1];
409
 
    sk.d = skey[2];
410
 
    sk.p = skey[3];
411
 
    sk.q = skey[4];
412
 
    sk.u = skey[5];
413
 
    *result = mpi_alloc_secure( mpi_get_nlimbs( sk.n ) );
414
 
    secret( *result, data[0], &sk );
415
 
    return 0;
416
 
}
417
 
 
418
 
int
419
 
rsa_sign( int algo, MPI *resarr, MPI data, MPI *skey )
420
 
{
421
 
    RSA_secret_key sk;
422
 
 
423
 
    if( algo != 1 && algo != 3 )
424
 
        return G10ERR_PUBKEY_ALGO;
425
 
 
426
 
    sk.n = skey[0];
427
 
    sk.e = skey[1];
428
 
    sk.d = skey[2];
429
 
    sk.p = skey[3];
430
 
    sk.q = skey[4];
431
 
    sk.u = skey[5];
432
 
    resarr[0] = mpi_alloc( mpi_get_nlimbs( sk.n ) );
433
 
    secret( resarr[0], data, &sk );
434
 
 
435
 
    return 0;
436
 
}
437
 
 
438
 
int
439
 
rsa_verify( int algo, MPI hash, MPI *data, MPI *pkey )
440
 
{
441
 
    RSA_public_key pk;
442
 
    MPI result;
443
 
    int rc;
444
 
 
445
 
    if( algo != 1 && algo != 3 )
446
 
        return G10ERR_PUBKEY_ALGO;
447
 
    pk.n = pkey[0];
448
 
    pk.e = pkey[1];
449
 
    result = mpi_alloc( (160+BITS_PER_MPI_LIMB-1)/BITS_PER_MPI_LIMB);
450
 
    public( result, data[0], &pk );
451
 
    rc = mpi_cmp( result, hash )? G10ERR_BAD_SIGN:0;
452
 
    mpi_free(result);
453
 
 
454
 
    return rc;
455
 
}
456
 
 
457
 
 
458
 
unsigned int
459
 
rsa_get_nbits( int algo, MPI *pkey )
460
 
{
461
 
    if( !is_RSA(algo) )
462
 
        return 0;
463
 
    return mpi_get_nbits( pkey[0] );
464
 
}
465
 
 
466
 
 
467
 
/****************
468
 
 * Return some information about the algorithm.  We need algo here to
469
 
 * distinguish different flavors of the algorithm.
470
 
 * Returns: A pointer to string describing the algorithm or NULL if
471
 
 *          the ALGO is invalid.
472
 
 * Usage: Bit 0 set : allows signing
473
 
 *            1 set : allows encryption
474
 
 */
475
 
const char *
476
 
rsa_get_info( int algo,
477
 
              int *npkey, int *nskey, int *nenc, int *nsig, int *r_usage )
478
 
{
479
 
    *npkey = 2;
480
 
    *nskey = 6;
481
 
    *nenc = 1;
482
 
    *nsig = 1;
483
 
 
484
 
    switch( algo ) {
485
 
      case 1: *r_usage = PUBKEY_USAGE_SIG | PUBKEY_USAGE_ENC; return "RSA";
486
 
      case 2: *r_usage = PUBKEY_USAGE_ENC; return "RSA-E";
487
 
      case 3: *r_usage = PUBKEY_USAGE_SIG; return "RSA-S";
488
 
      default:*r_usage = 0; return NULL;
489
 
    }
490
 
}