crypto/dh.c

   1 // SPDX-License-Identifier: GPL-2.0-or-later
   2 /*  Diffie-Hellman Key Agreement Method [RFC2631]
   3  *
   4  * Copyright (c) 2016, Intel Corporation
   5  * Authors: Salvatore Benedetto <[email protected]>
   6  */
   7
   8 #include <linux/module.h>
   9 #include <crypto/internal/kpp.h>
  10 #include <crypto/kpp.h>
  11 #include <crypto/dh.h>
  12 #include <linux/fips.h>
  13 #include <linux/mpi.h>
  14
  15 struct dh_ctx {
  16         MPI p;  /* Value is guaranteed to be set. */
  17         MPI q;  /* Value is optional. */
  18         MPI g;  /* Value is guaranteed to be set. */
  19         MPI xa; /* Value is guaranteed to be set. */
  20 };
  21
  22 static void dh_clear_ctx(struct dh_ctx *ctx)
  23 {
  24         mpi_free(ctx->p);
  25         mpi_free(ctx->q);
  26         mpi_free(ctx->g);
  27         mpi_free(ctx->xa);
  28         memset(ctx, 0, sizeof(*ctx));
  29 }
  30
  31 /*
  32  * If base is g we compute the public key
  33  *      ya = g^xa mod p; [RFC2631 sec 2.1.1]
  34  * else if base if the counterpart public key we compute the shared secret
  35  *      ZZ = yb^xa mod p; [RFC2631 sec 2.1.1]
  36  */
  37 static int _compute_val(const struct dh_ctx *ctx, MPI base, MPI val)
  38 {
  39         /* val = base^xa mod p */
  40         return mpi_powm(val, base, ctx->xa, ctx->p);
  41 }
  42
  43 static inline struct dh_ctx *dh_get_ctx(struct crypto_kpp *tfm)
  44 {
  45         return kpp_tfm_ctx(tfm);
  46 }
  47
  48 static int dh_check_params_length(unsigned int p_len)
  49 {
  50         return (p_len < 1536) ? -EINVAL : 0;
  51 }
  52
  53 static int dh_set_params(struct dh_ctx *ctx, struct dh *params)
  54 {
  55         if (dh_check_params_length(params->p_size << 3))
  56                 return -EINVAL;
  57
  58         ctx->p = mpi_read_raw_data(params->p, params->p_size);
  59         if (!ctx->p)
  60                 return -EINVAL;
  61
  62         if (params->q && params->q_size) {
  63                 ctx->q = mpi_read_raw_data(params->q, params->q_size);
  64                 if (!ctx->q)
  65                         return -EINVAL;
  66         }
  67
  68         ctx->g = mpi_read_raw_data(params->g, params->g_size);
  69         if (!ctx->g)
  70                 return -EINVAL;
  71
  72         return 0;
  73 }
  74
  75 static int dh_set_secret(struct crypto_kpp *tfm, const void *buf,
  76                          unsigned int len)
  77 {
  78         struct dh_ctx *ctx = dh_get_ctx(tfm);
  79         struct dh params;
  80
  81         /* Free the old MPI key if any */
  82         dh_clear_ctx(ctx);
  83
  84         if (crypto_dh_decode_key(buf, len, &params) < 0)
  85                 goto err_clear_ctx;
  86
  87         if (dh_set_params(ctx, &params) < 0)
  88                 goto err_clear_ctx;
  89
  90         ctx->xa = mpi_read_raw_data(params.key, params.key_size);
  91         if (!ctx->xa)
  92                 goto err_clear_ctx;
  93
  94         return 0;
  95
  96 err_clear_ctx:
  97         dh_clear_ctx(ctx);
  98         return -EINVAL;
  99 }
 100
 101 /*
 102  * SP800-56A public key verification:
 103  *
 104  * * If Q is provided as part of the domain paramenters, a full validation
 105  *   according to SP800-56A section 5.6.2.3.1 is performed.
 106  *
 107  * * If Q is not provided, a partial validation according to SP800-56A section
 108  *   5.6.2.3.2 is performed.
 109  */
 110 static int dh_is_pubkey_valid(struct dh_ctx *ctx, MPI y)
 111 {
 112         if (unlikely(!ctx->p))
 113                 return -EINVAL;
 114
 115         /*
 116          * Step 1: Verify that 2 <= y <= p - 2.
 117          *
 118          * The upper limit check is actually y < p instead of y < p - 1
 119          * as the mpi_sub_ui function is yet missing.
 120          */
 121         if (mpi_cmp_ui(y, 1) < 1 || mpi_cmp(y, ctx->p) >= 0)
 122                 return -EINVAL;
 123
 124         /* Step 2: Verify that 1 = y^q mod p */
 125         if (ctx->q) {
 126                 MPI val = mpi_alloc(0);
 127                 int ret;
 128
 129                 if (!val)
 130                         return -ENOMEM;
 131
 132                 ret = mpi_powm(val, y, ctx->q, ctx->p);
 133
 134                 if (ret) {
 135                         mpi_free(val);
 136                         return ret;
 137                 }
 138
 139                 ret = mpi_cmp_ui(val, 1);
 140
 141                 mpi_free(val);
 142
 143                 if (ret != 0)
 144                         return -EINVAL;
 145         }
 146
 147         return 0;
 148 }
 149
 150 static int dh_compute_value(struct kpp_request *req)
 151 {
 152         struct crypto_kpp *tfm = crypto_kpp_reqtfm(req);
 153         struct dh_ctx *ctx = dh_get_ctx(tfm);
 154         MPI base, val = mpi_alloc(0);
 155         int ret = 0;
 156         int sign;
 157
 158         if (!val)
 159                 return -ENOMEM;
 160
 161         if (unlikely(!ctx->xa)) {
 162                 ret = -EINVAL;
 163                 goto err_free_val;
 164         }
 165
 166         if (req->src) {
 167                 base = mpi_read_raw_from_sgl(req->src, req->src_len);
 168                 if (!base) {
 169                         ret = -EINVAL;
 170                         goto err_free_val;
 171                 }
 172                 ret = dh_is_pubkey_valid(ctx, base);
 173                 if (ret)
 174                         goto err_free_base;
 175         } else {
 176                 base = ctx->g;
 177         }
 178
 179         ret = _compute_val(ctx, base, val);
 180         if (ret)
 181                 goto err_free_base;
 182
 183         /* SP800-56A rev3 5.7.1.1 check: Validation of shared secret */
 184         if (fips_enabled && req->src) {
 185                 MPI pone;
 186
 187                 /* z <= 1 */
 188                 if (mpi_cmp_ui(val, 1) < 1) {
 189                         ret = -EBADMSG;
 190                         goto err_free_base;
 191                 }
 192
 193                 /* z == p - 1 */
 194                 pone = mpi_alloc(0);
 195
 196                 if (!pone) {
 197                         ret = -ENOMEM;
 198                         goto err_free_base;
 199                 }
 200
 201                 ret = mpi_sub_ui(pone, ctx->p, 1);
 202                 if (!ret && !mpi_cmp(pone, val))
 203                         ret = -EBADMSG;
 204
 205                 mpi_free(pone);
 206
 207                 if (ret)
 208                         goto err_free_base;
 209         }
 210
 211         ret = mpi_write_to_sgl(val, req->dst, req->dst_len, &sign);
 212         if (ret)
 213                 goto err_free_base;
 214
 215         if (sign < 0)
 216                 ret = -EBADMSG;
 217 err_free_base:
 218         if (req->src)
 219                 mpi_free(base);
 220 err_free_val:
 221         mpi_free(val);
 222         return ret;
 223 }
 224
 225 static unsigned int dh_max_size(struct crypto_kpp *tfm)
 226 {
 227         struct dh_ctx *ctx = dh_get_ctx(tfm);
 228
 229         return mpi_get_size(ctx->p);
 230 }
 231
 232 static void dh_exit_tfm(struct crypto_kpp *tfm)
 233 {
 234         struct dh_ctx *ctx = dh_get_ctx(tfm);
 235
 236         dh_clear_ctx(ctx);
 237 }
 238
 239 static struct kpp_alg dh = {
 240         .set_secret = dh_set_secret,
 241         .generate_public_key = dh_compute_value,
 242         .compute_shared_secret = dh_compute_value,
 243         .max_size = dh_max_size,
 244         .exit = dh_exit_tfm,
 245         .base = {
 246                 .cra_name = "dh",
 247                 .cra_driver_name = "dh-generic",
 248                 .cra_priority = 100,
 249                 .cra_module = THIS_MODULE,
 250                 .cra_ctxsize = sizeof(struct dh_ctx),
 251         },
 252 };
 253
 254 static int dh_init(void)
 255 {
 256         return crypto_register_kpp(&dh);
 257 }
 258
 259 static void dh_exit(void)
 260 {
 261         crypto_unregister_kpp(&dh);
 262 }
 263
 264 subsys_initcall(dh_init);
 265 module_exit(dh_exit);
 266 MODULE_ALIAS_CRYPTO("dh");
 267 MODULE_LICENSE("GPL");
 268 MODULE_DESCRIPTION("DH generic algorithm");