← Back to branch summary

~ubuntu-branches/ubuntu/lucid/openssl/lucid-proposed

« back to all changes in this revision

Viewing changes to fips/dsa/fips_dsa_gen.c

  • Committer: Bazaar Package Importer
  • Author(s): Nicolas Valcárcel Scerpella (Canonical)
  • Date: 2009-12-06 20:16:24 UTC
  • mfrom: (11.1.9 sid)
  • Revision ID: james.westby@ubuntu.com-20091206201624-u126qjpqm2n2uuhu
Tags: 0.9.8k-7ubuntu1
https://launchpad.net/bugs/493392
* Merge from debian unstable, remaining changes (LP: #493392):
  - Link using -Bsymbolic-functions
  - Add support for lpia
  - Disable SSLv2 during compile
  - Ship documentation in openssl-doc, suggested by the package.
  - Use a different priority for libssl0.9.8/restart-services
    depending on whether a desktop, or server dist-upgrade is being
    performed.
  - Display a system restart required notification bubble on libssl0.9.8
    upgrade.
  - Replace duplicate files in the doc directory with symlinks.
  - Move runtime libraries to /lib, for the benefit of wpasupplicant
* Strip the patches out of the source into quilt patches
* Disable CVE-2009-3555.patch

Show diffs side-by-side

added added

removed removed

Lines of Context:
fips/dsa/fips_dsa_gen.c
 
1
/* crypto/dsa/dsa_gen.c */
 
2
/* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
 
3
 * All rights reserved.
 
4
 *
 
5
 * This package is an SSL implementation written
 
6
 * by Eric Young (eay@cryptsoft.com).
 
7
 * The implementation was written so as to conform with Netscapes SSL.
 
8
 * 
 
9
 * This library is free for commercial and non-commercial use as long as
 
10
 * the following conditions are aheared to.  The following conditions
 
11
 * apply to all code found in this distribution, be it the RC4, RSA,
 
12
 * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
 
13
 * included with this distribution is covered by the same copyright terms
 
14
 * except that the holder is Tim Hudson (tjh@cryptsoft.com).
 
15
 * 
 
16
 * Copyright remains Eric Young's, and as such any Copyright notices in
 
17
 * the code are not to be removed.
 
18
 * If this package is used in a product, Eric Young should be given attribution
 
19
 * as the author of the parts of the library used.
 
20
 * This can be in the form of a textual message at program startup or
 
21
 * in documentation (online or textual) provided with the package.
 
22
 * 
 
23
 * Redistribution and use in source and binary forms, with or without
 
24
 * modification, are permitted provided that the following conditions
 
25
 * are met:
 
26
 * 1. Redistributions of source code must retain the copyright
 
27
 *    notice, this list of conditions and the following disclaimer.
 
28
 * 2. Redistributions in binary form must reproduce the above copyright
 
29
 *    notice, this list of conditions and the following disclaimer in the
 
30
 *    documentation and/or other materials provided with the distribution.
 
31
 * 3. All advertising materials mentioning features or use of this software
 
32
 *    must display the following acknowledgement:
 
33
 *    "This product includes cryptographic software written by
 
34
 *     Eric Young (eay@cryptsoft.com)"
 
35
 *    The word 'cryptographic' can be left out if the rouines from the library
 
36
 *    being used are not cryptographic related :-).
 
37
 * 4. If you include any Windows specific code (or a derivative thereof) from 
 
38
 *    the apps directory (application code) you must include an acknowledgement:
 
39
 *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
 
40
 * 
 
41
 * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
 
42
 * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
 
43
 * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
 
44
 * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
 
45
 * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
 
46
 * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
 
47
 * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
 
48
 * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
 
49
 * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
 
50
 * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
 
51
 * SUCH DAMAGE.
 
52
 * 
 
53
 * The licence and distribution terms for any publically available version or
 
54
 * derivative of this code cannot be changed.  i.e. this code cannot simply be
 
55
 * copied and put under another distribution licence
 
56
 * [including the GNU Public Licence.]
 
57
 */
 
58
 
 
59
#undef GENUINE_DSA
 
60
 
 
61
#ifdef GENUINE_DSA
 
62
/* Parameter generation follows the original release of FIPS PUB 186,
 
63
 * Appendix 2.2 (i.e. use SHA as defined in FIPS PUB 180) */
 
64
#define HASH    EVP_sha()
 
65
#else
 
66
/* Parameter generation follows the updated Appendix 2.2 for FIPS PUB 186,
 
67
 * also Appendix 2.2 of FIPS PUB 186-1 (i.e. use SHA as defined in
 
68
 * FIPS PUB 180-1) */
 
69
#define HASH    EVP_sha1()
 
70
#endif 
 
71
 
 
72
#include <openssl/opensslconf.h> /* To see if OPENSSL_NO_SHA is defined */
 
73
 
 
74
#ifndef OPENSSL_NO_SHA
 
75
 
 
76
#include <stdio.h>
 
77
#include <time.h>
 
78
#include <string.h>
 
79
#include <openssl/evp.h>
 
80
#include <openssl/bn.h>
 
81
#include <openssl/dsa.h>
 
82
#include <openssl/rand.h>
 
83
#include <openssl/sha.h>
 
84
#include <openssl/err.h>
 
85
 
 
86
#ifdef OPENSSL_FIPS
 
87
 
 
88
static int dsa_builtin_paramgen(DSA *ret, int bits,
 
89
                unsigned char *seed_in, int seed_len,
 
90
                int *counter_ret, unsigned long *h_ret, BN_GENCB *cb);
 
91
 
 
92
int DSA_generate_parameters_ex(DSA *ret, int bits,
 
93
                unsigned char *seed_in, int seed_len,
 
94
                int *counter_ret, unsigned long *h_ret, BN_GENCB *cb)
 
95
        {
 
96
        if(ret->meth->dsa_paramgen)
 
97
                return ret->meth->dsa_paramgen(ret, bits, seed_in, seed_len,
 
98
                                counter_ret, h_ret, cb);
 
99
        return dsa_builtin_paramgen(ret, bits, seed_in, seed_len,
 
100
                        counter_ret, h_ret, cb);
 
101
        }
 
102
 
 
103
static int dsa_builtin_paramgen(DSA *ret, int bits,
 
104
                unsigned char *seed_in, int seed_len,
 
105
                int *counter_ret, unsigned long *h_ret, BN_GENCB *cb)
 
106
        {
 
107
        int ok=0;
 
108
        unsigned char seed[SHA_DIGEST_LENGTH];
 
109
        unsigned char md[SHA_DIGEST_LENGTH];
 
110
        unsigned char buf[SHA_DIGEST_LENGTH],buf2[SHA_DIGEST_LENGTH];
 
111
        BIGNUM *r0,*W,*X,*c,*test;
 
112
        BIGNUM *g=NULL,*q=NULL,*p=NULL;
 
113
        BN_MONT_CTX *mont=NULL;
 
114
        int k,n=0,i,b,m=0;
 
115
        int counter=0;
 
116
        int r=0;
 
117
        BN_CTX *ctx=NULL;
 
118
        unsigned int h=2;
 
119
 
 
120
        if(FIPS_selftest_failed())
 
121
            {
 
122
            FIPSerr(FIPS_F_DSA_BUILTIN_PARAMGEN,
 
123
                    FIPS_R_FIPS_SELFTEST_FAILED);
 
124
            goto err;
 
125
            }
 
126
 
 
127
        if (FIPS_mode() && (bits < OPENSSL_DSA_FIPS_MIN_MODULUS_BITS))
 
128
                {
 
129
                DSAerr(DSA_F_DSA_BUILTIN_PARAMGEN, DSA_R_KEY_SIZE_TOO_SMALL);
 
130
                goto err;
 
131
                }
 
132
 
 
133
        if (bits < 512) bits=512;
 
134
        bits=(bits+63)/64*64;
 
135
 
 
136
        /* NB: seed_len == 0 is special case: copy generated seed to
 
137
         * seed_in if it is not NULL.
 
138
         */
 
139
        if (seed_len && (seed_len < 20))
 
140
                seed_in = NULL; /* seed buffer too small -- ignore */
 
141
        if (seed_len > 20) 
 
142
                seed_len = 20; /* App. 2.2 of FIPS PUB 186 allows larger SEED,
 
143
                                * but our internal buffers are restricted to 160 bits*/
 
144
        if ((seed_in != NULL) && (seed_len == 20))
 
145
                {
 
146
                memcpy(seed,seed_in,seed_len);
 
147
                /* set seed_in to NULL to avoid it being copied back */
 
148
                seed_in = NULL;
 
149
                }
 
150
 
 
151
        if ((ctx=BN_CTX_new()) == NULL) goto err;
 
152
 
 
153
        if ((mont=BN_MONT_CTX_new()) == NULL) goto err;
 
154
 
 
155
        BN_CTX_start(ctx);
 
156
        r0 = BN_CTX_get(ctx);
 
157
        g = BN_CTX_get(ctx);
 
158
        W = BN_CTX_get(ctx);
 
159
        q = BN_CTX_get(ctx);
 
160
        X = BN_CTX_get(ctx);
 
161
        c = BN_CTX_get(ctx);
 
162
        p = BN_CTX_get(ctx);
 
163
        test = BN_CTX_get(ctx);
 
164
 
 
165
        if (!BN_lshift(test,BN_value_one(),bits-1))
 
166
                goto err;
 
167
 
 
168
        for (;;)
 
169
                {
 
170
                for (;;) /* find q */
 
171
                        {
 
172
                        int seed_is_random;
 
173
 
 
174
                        /* step 1 */
 
175
                        if(!BN_GENCB_call(cb, 0, m++))
 
176
                                goto err;
 
177
 
 
178
                        if (!seed_len)
 
179
                                {
 
180
                                RAND_pseudo_bytes(seed,SHA_DIGEST_LENGTH);
 
181
                                seed_is_random = 1;
 
182
                                }
 
183
                        else
 
184
                                {
 
185
                                seed_is_random = 0;
 
186
                                seed_len=0; /* use random seed if 'seed_in' turns out to be bad*/
 
187
                                }
 
188
                        memcpy(buf,seed,SHA_DIGEST_LENGTH);
 
189
                        memcpy(buf2,seed,SHA_DIGEST_LENGTH);
 
190
                        /* precompute "SEED + 1" for step 7: */
 
191
                        for (i=SHA_DIGEST_LENGTH-1; i >= 0; i--)
 
192
                                {
 
193
                                buf[i]++;
 
194
                                if (buf[i] != 0) break;
 
195
                                }
 
196
 
 
197
                        /* step 2 */
 
198
                        EVP_Digest(seed,SHA_DIGEST_LENGTH,md,NULL,HASH, NULL);
 
199
                        EVP_Digest(buf,SHA_DIGEST_LENGTH,buf2,NULL,HASH, NULL);
 
200
                        for (i=0; i<SHA_DIGEST_LENGTH; i++)
 
201
                                md[i]^=buf2[i];
 
202
 
 
203
                        /* step 3 */
 
204
                        md[0]|=0x80;
 
205
                        md[SHA_DIGEST_LENGTH-1]|=0x01;
 
206
                        if (!BN_bin2bn(md,SHA_DIGEST_LENGTH,q)) goto err;
 
207
 
 
208
                        /* step 4 */
 
209
                        r = BN_is_prime_fasttest_ex(q, DSS_prime_checks, ctx,
 
210
                                        seed_is_random, cb);
 
211
                        if (r > 0)
 
212
                                break;
 
213
                        if (r != 0)
 
214
                                goto err;
 
215
 
 
216
                        /* do a callback call */
 
217
                        /* step 5 */
 
218
                        }
 
219
 
 
220
                if(!BN_GENCB_call(cb, 2, 0)) goto err;
 
221
                if(!BN_GENCB_call(cb, 3, 0)) goto err;
 
222
 
 
223
                /* step 6 */
 
224
                counter=0;
 
225
                /* "offset = 2" */
 
226
 
 
227
                n=(bits-1)/160;
 
228
                b=(bits-1)-n*160;
 
229
 
 
230
                for (;;)
 
231
                        {
 
232
                        if ((counter != 0) && !BN_GENCB_call(cb, 0, counter))
 
233
                                goto err;
 
234
 
 
235
                        /* step 7 */
 
236
                        BN_zero(W);
 
237
                        /* now 'buf' contains "SEED + offset - 1" */
 
238
                        for (k=0; k<=n; k++)
 
239
                                {
 
240
                                /* obtain "SEED + offset + k" by incrementing: */
 
241
                                for (i=SHA_DIGEST_LENGTH-1; i >= 0; i--)
 
242
                                        {
 
243
                                        buf[i]++;
 
244
                                        if (buf[i] != 0) break;
 
245
                                        }
 
246
 
 
247
                                EVP_Digest(buf,SHA_DIGEST_LENGTH,md,NULL,HASH, NULL);
 
248
 
 
249
                                /* step 8 */
 
250
                                if (!BN_bin2bn(md,SHA_DIGEST_LENGTH,r0))
 
251
                                        goto err;
 
252
                                if (!BN_lshift(r0,r0,160*k)) goto err;
 
253
                                if (!BN_add(W,W,r0)) goto err;
 
254
                                }
 
255
 
 
256
                        /* more of step 8 */
 
257
                        if (!BN_mask_bits(W,bits-1)) goto err;
 
258
                        if (!BN_copy(X,W)) goto err;
 
259
                        if (!BN_add(X,X,test)) goto err;
 
260
 
 
261
                        /* step 9 */
 
262
                        if (!BN_lshift1(r0,q)) goto err;
 
263
                        if (!BN_mod(c,X,r0,ctx)) goto err;
 
264
                        if (!BN_sub(r0,c,BN_value_one())) goto err;
 
265
                        if (!BN_sub(p,X,r0)) goto err;
 
266
 
 
267
                        /* step 10 */
 
268
                        if (BN_cmp(p,test) >= 0)
 
269
                                {
 
270
                                /* step 11 */
 
271
                                r = BN_is_prime_fasttest_ex(p, DSS_prime_checks,
 
272
                                                ctx, 1, cb);
 
273
                                if (r > 0)
 
274
                                                goto end; /* found it */
 
275
                                if (r != 0)
 
276
                                        goto err;
 
277
                                }
 
278
 
 
279
                        /* step 13 */
 
280
                        counter++;
 
281
                        /* "offset = offset + n + 1" */
 
282
 
 
283
                        /* step 14 */
 
284
                        if (counter >= 4096) break;
 
285
                        }
 
286
                }
 
287
end:
 
288
        if(!BN_GENCB_call(cb, 2, 1))
 
289
                goto err;
 
290
 
 
291
        /* We now need to generate g */
 
292
        /* Set r0=(p-1)/q */
 
293
        if (!BN_sub(test,p,BN_value_one())) goto err;
 
294
        if (!BN_div(r0,NULL,test,q,ctx)) goto err;
 
295
 
 
296
        if (!BN_set_word(test,h)) goto err;
 
297
        if (!BN_MONT_CTX_set(mont,p,ctx)) goto err;
 
298
 
 
299
        for (;;)
 
300
                {
 
301
                /* g=test^r0%p */
 
302
                if (!BN_mod_exp_mont(g,test,r0,p,ctx,mont)) goto err;
 
303
                if (!BN_is_one(g)) break;
 
304
                if (!BN_add(test,test,BN_value_one())) goto err;
 
305
                h++;
 
306
                }
 
307
 
 
308
        if(!BN_GENCB_call(cb, 3, 1))
 
309
                goto err;
 
310
 
 
311
        ok=1;
 
312
err:
 
313
        if (ok)
 
314
                {
 
315
                if(ret->p) BN_free(ret->p);
 
316
                if(ret->q) BN_free(ret->q);
 
317
                if(ret->g) BN_free(ret->g);
 
318
                ret->p=BN_dup(p);
 
319
                ret->q=BN_dup(q);
 
320
                ret->g=BN_dup(g);
 
321
                if (ret->p == NULL || ret->q == NULL || ret->g == NULL)
 
322
                        {
 
323
                        ok=0;
 
324
                        goto err;
 
325
                        }
 
326
                if (seed_in != NULL) memcpy(seed_in,seed,20);
 
327
                if (counter_ret != NULL) *counter_ret=counter;
 
328
                if (h_ret != NULL) *h_ret=h;
 
329
                }
 
330
        if(ctx)
 
331
                {
 
332
                BN_CTX_end(ctx);
 
333
                BN_CTX_free(ctx);
 
334
                }
 
335
        if (mont != NULL) BN_MONT_CTX_free(mont);
 
336
        return ok;
 
337
        }
 
338
#endif
 
339
#endif