]> git.cryptolib.org Git - avr-crypto-lib.git/blob - rsa/rsaes_oaep.c
first publication of bigint2-dev
[avr-crypto-lib.git] / rsa / rsaes_oaep.c
1
2 /* rsa_oaep.c */
3 /*
4     This file is part of the ARM-Crypto-Lib.
5     Copyright (C) 2006-2012 Daniel Otte (daniel.otte@rub.de)
6
7     This program is free software: you can redistribute it and/or modify
8     it under the terms of the GNU General Public License as published by
9     the Free Software Foundation, either version 3 of the License, or
10     (at your option) any later version.
11
12     This program is distributed in the hope that it will be useful,
13     but WITHOUT ANY WARRANTY; without even the implied warranty of
14     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
15     GNU General Public License for more details.
16
17     You should have received a copy of the GNU General Public License
18     along with this program.  If not, see <http://www.gnu.org/licenses/>.
19 */
20
21 #include <stdint.h>
22 #include <stdlib.h>
23 #include <string.h>
24 #include "memxor.h"
25 #include "mgf1.h"
26 #include "bigint.h"
27 #include "rsa_basic.h"
28 #include "rsaes_oaep.h"
29
30 #include "random_dummy.h"
31
32 #include "hfal/hfal_sha1.h"
33
34 #define DEBUG 0
35
36 #if DEBUG
37 #include "cli.h"
38 #endif
39
40 mgf1_parameter_t mgf1_default_parameter = {
41                 &sha1_desc
42 };
43
44 rsa_oaep_parameter_t rsa_oaep_default_parameter = {
45                 mgf1,
46                 &sha1_desc,
47                 &mgf1_default_parameter
48 };
49
50 rsa_label_t rsa_oaep_default_label = {
51                 0, NULL
52 };
53
54 uint8_t rsa_encrypt_oaep(void *dest, uint16_t *out_length,
55                               const void *src, uint16_t length_B,
56                               rsa_publickey_t *key, const rsa_oaep_parameter_t *p,
57                               const rsa_label_t *label, const void *seed){
58
59         if(!p){
60                 p = &rsa_oaep_default_parameter;
61         }
62         if(!label){
63                 label = &rsa_oaep_default_label;
64         }
65         uint16_t hv_len = (hfal_hash_getHashsize(p->hf)+7)/8;
66         if(length_B > bigint_length_B(&key->modulus) - 2*hv_len - 2){
67                 /* message too long */
68                 return 1;
69         }
70         uint16_t buffer_len = bigint_length_B(&key->modulus);
71 #if DEBUG
72         cli_putstr("\r\n buffer_len = ");
73         cli_hexdump_rev(&buffer_len, 2);
74         cli_putstr("\r\n modulus_len = ");
75         cli_hexdump_rev(&key->modulus.length_W, 2);
76 #endif
77         uint8_t *buffer = (uint8_t*)dest;
78         uint8_t off;
79         /* the following needs some explanation:
80          * off is the offset which is used for compensating the effect of
81          * changeendian() when it operates on multi-byte words.
82          * */
83         off = (sizeof(bigint_word_t) - (bigint_get_first_set_bit(&key->modulus)/8+1) % sizeof(bigint_word_t))
84                         % (sizeof(bigint_word_t));
85         buffer += off;
86     buffer_len -= off;
87         uint8_t *seed_buffer = buffer + 1;
88         uint16_t db_len = buffer_len - hv_len - 1;
89         uint8_t *db = seed_buffer + hv_len;
90         uint16_t maskbuffer_len = db_len>hv_len?db_len:hv_len;
91         uint8_t maskbuffer[maskbuffer_len];
92         bigint_t x;
93
94         memset(dest, 0, seed_buffer - buffer + off);
95         memset(db + hv_len, 0, db_len - hv_len - length_B -1);
96         hfal_hash_mem(p->hf, db, label->label, label->length_b);
97         db[db_len - length_B - 1] = 0x01;
98         memcpy(db+db_len - length_B, src, length_B);
99         if(seed){
100                 memcpy(seed_buffer, seed, hv_len);
101         }else{
102                 /* generate random seed */
103                 if(!prng_get_byte){
104                         return 2; /* ERROR: no random generator specified */
105                 }
106                 uint16_t i;
107                 for(i=0; i<hv_len; ++i){
108                         seed_buffer[i] = prng_get_byte();
109                 }
110         }
111 #if DEBUG
112         cli_putstr("\r\n  msg (raw, pre-feistel):\r\n");
113         cli_hexdump_block(dest, bigint_length_B(&key->modulus), 4, 16);
114 #endif
115         p->mgf(maskbuffer, seed_buffer, hv_len, db_len, p->mgf_parameter);
116         memxor(db, maskbuffer, db_len);
117         p->mgf(maskbuffer, db, db_len, hv_len, p->mgf_parameter);
118         memxor(seed_buffer, maskbuffer, hv_len);
119 #if DEBUG
120         cli_putstr("\r\n  msg (raw, post-feistel):\r\n");
121         cli_hexdump_block(dest, bigint_length_B(&key->modulus), 4, 16);
122 #endif
123         x.info = 0;
124         x.length_W = key->modulus.length_W;
125         x.wordv = dest;
126         bigint_adjust(&x);
127         rsa_os2ip(&x, NULL, bigint_length_B(&key->modulus));
128 #if DEBUG
129         cli_putstr("\r\ninput-msg (pre enc):\r\n");
130         cli_hexdump_rev(&src, 2);
131         cli_hexdump_block(src, length_B, 4, 16);
132 #endif
133         rsa_enc(&x, key);
134 #if DEBUG
135         cli_putstr("\r\ninput-msg (post enc):\r\n");
136         cli_hexdump_rev(&src, 2);
137         cli_hexdump_block(src, length_B, 4, 16);
138 #endif
139         rsa_i2osp(NULL, &x, out_length);
140         return 0;
141 }
142
143 uint8_t rsa_decrypt_oaep(void *dest, uint16_t *out_length,
144                               const void *src, uint16_t length_B,
145                               rsa_privatekey_t *key, const rsa_oaep_parameter_t *p,
146                               const rsa_label_t *label, void *seed){
147
148 //      cli_putstr("\r\n -->rsa_decrypt_oaep()"); uart_flush(0);
149         if(!label){
150                 label = &rsa_oaep_default_label;
151         }
152         if(!p){
153                 p = &rsa_oaep_default_parameter;
154         }
155         uint16_t x_len, data_len;
156         bigint_t x;
157         uint16_t hv_len = hfal_hash_getHashsize(p->hf)/8;
158         uint8_t label_hv[hv_len];
159         uint16_t msg_len = bigint_get_first_set_bit(&key->modulus) / 8 + 1;
160         uint16_t db_len = msg_len - hv_len - 1;
161         uint8_t maskbuffer[db_len>hv_len?db_len:hv_len];
162
163         uint8_t *seed_buffer = dest;
164         uint8_t *db_buffer = seed_buffer + hv_len;
165
166         x_len = bigint_get_first_set_bit(&key->modulus)/8;
167         memset(dest, 0, bigint_length_B(&key->modulus) - length_B);
168         memcpy((uint8_t*)dest + bigint_length_B(&key->modulus) - length_B, src, length_B);
169
170 //      cli_putc('a'); uart_flush(0);
171
172         x.wordv = dest;
173         x.length_W = key->modulus.length_W;
174         x.info = 0;
175         bigint_adjust(&x);
176
177
178 //      cli_putc('b'); uart_flush(0);
179         rsa_os2ip(&x, NULL, bigint_length_B(&key->modulus));
180 #if DEBUG
181         cli_putstr_P(PSTR("\r\n rsa decrypting ..."));
182 #endif
183         rsa_dec(&x, key);
184 #if DEBUG
185         cli_putstr_P(PSTR(" [done]"));
186 #endif
187         rsa_i2osp(NULL, &x, &data_len);
188
189 //      cli_putstr("\r\n  msg (raw, pre-move):\r\n");
190 //      cli_hexdump_block(dest, bigint_length_B(key->modulus), 4, 16);
191
192         if(data_len > x_len){
193                 return 7;
194         }
195 /*
196         cli_putstr("\r\n moving some bytes; x_len = ");
197         cli_hexdump_rev(&x_len, 2);
198         cli_putstr("  data_len = ");
199         cli_hexdump_rev(&data_len, 2);
200         uart_flush(0);
201 */
202         if(x_len != data_len){
203                 memmove((uint8_t*)dest + x_len - data_len, dest, data_len);
204 //              cli_putstr("  (oh, not dead yet?!)");
205 //              uart_flush(0);
206                 memset(dest, 0, x_len - data_len);
207         }
208
209         hfal_hash_mem(p->hf, label_hv, label->label, label->length_b);
210 /*
211         cli_putstr("\r\n  msg (raw, pre-feistel):\r\n");
212         cli_hexdump_block(seed_buffer, bigint_length_B(key->modulus), 4, 16);
213         uart_flush(0);
214 */
215         p->mgf(maskbuffer, db_buffer, db_len, hv_len, p->mgf_parameter);
216         memxor(seed_buffer, maskbuffer, hv_len);
217         p->mgf(maskbuffer, seed_buffer, hv_len, db_len, p->mgf_parameter);
218         memxor(db_buffer, maskbuffer, db_len);
219
220         if(memcmp(label_hv, db_buffer, hv_len)){
221 //              cli_putstr("\r\nDBG: DB:\r\n");
222 //              cli_hexdump_block(db_buffer, db_len, 4, 16);
223                 return 2;
224         }
225
226         uint16_t ps_len=0;
227         while(db_buffer[hv_len + ps_len++] == 0)
228                 ;
229
230         --ps_len;
231         if(db_buffer[hv_len + ps_len] != 1){
232                 return 3;
233         }
234
235         if(seed){
236                 memcpy(seed, seed_buffer, hv_len);
237         }
238
239         msg_len = db_len - hv_len - 1 - ps_len;
240         memmove(dest, db_buffer + hv_len + ps_len + 1, msg_len);
241
242         *out_length = msg_len;
243
244         return 0;
245 }
246
247